Социальную инженерию: Социальная инженерия – что это такое, атаки с использованием социальной инженерии

Краткое введение в социальную инженерию / Хабр

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!

К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие

человека с компьютером таит в себе наибольшую угрозу из всех существующих.

Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних.

В отношении безопасности математический аппарат безупречен,

компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.

Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»

Intro

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.

К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.

Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.

Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
Диверсия: Создание обратимой неполадки на компьютере жертвы.
Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

Социальная инженерия — что это и как применяется на практике

Социальная инженерия — это совокупность психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенников, которые используют эти приемы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека, который считается наименее устойчивым к внешнему воздействию. Почему так происходит?

Предпосылки для появления социальной инженерии

«Миром правят данные», «данные — новая нефть». Эти выражения отражают сегодняшнюю картину отношения к информации. У бизнеса — как в IT-сфере, так и любой другой — информация часто имеет очень высокую ценность и от нее зависит успешность компании, ее развитие, безопасность клиентов и репутация. Но в любой системе, которая связана с получением, хранением, обработкой данных, всегда участвует человек. И пока другие методы защиты справляются с сохранением конфиденциальных данных в тайне, человеческий фактор становится тем ключом, который открывает двери мошенникам.

В social engineering все строится вокруг слабостей человека. С одной стороны, это личностные качества: сопереживание, наивность, доверчивость, лояльность к чужим слабостям, страх. С другой — качества профессиональные: недостаток знаний, неумение применять их на практике, игнорирование инструкций и должностных обязанностей. Поэтому социальную инженерию часто называют «взломом» человека. На практике каждый взлом может иметь серьезные последствия, в первую очередь, для компании, в которой работает человек.

Ежегодный ущерб от киберпреступников, которые используют приемы социальной инженерии, оценивается в десятки миллиардов долларов США. Одним из самых первых громких дел с применением social engineering’а стало дело Кевина Митника. Его начинания продолжили другие: Братья Бадир, хакер по имени Архангел, Питер Фостер. Некоторые истории легли в основу сценариев для художественных фильмов — например, кинолента «Поймай меня, если сможешь» с Леонардо ди Каприо в главной роли основана на реальных фактах.

Основные приемы социальной инженерии

Фишинг

Это сбор пользовательских данных для авторизации (логинов и паролей) в различных онлайн-сервисах. Фишинг популярен, о нем многие знают, но, тем не менее, попадаются на его «удочку». Обычно он представляет собой массовые рассылки спама по электронной почте. Потенциальным жертвам приходят письма якобы от сервисов, которыми они пользуются: платежных систем, онлайн-магазинов и т. п. Эти письма — поддельные, их задача в том, чтобы заставить пользователя перейти по ссылке или кнопке, а затем оставить мошенникам авторизационные данные. Чтобы вызвать больше доверия, мошенники придумывают серьезные причины для перехода по ссылке: например, просят жертву обновить пароль или подтвердить какое-то действие в системе.

Претекстинг

Методика психологической манипуляции по заранее подготовленному сценарию. Сценарий реализуется во время голосового общения, в ходе которого жертва сообщает киберпреступнику нужную ему информацию или выполняет действие, которое приведет его к желанной цели. Часто социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или других служб, которым человек по умолчанию доверяет. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счета, реальную проблему, с которой она обращалась в эту службу ранее.

Плечевой серфинг

Проще говоря, это подглядывание из-за спины. Так легко получить пароли и логины для входа в местах общественного пользования: кафе и ресторанах, парках и залах ожидания в аэропорту или на вокзале.

Сбор данных из открытых источников

Это не только соцсети (хотя сегодня они особенно актуальны), но и информация в поисковых системах, блогах, на форумах, в профессиональных сообществах и сообществах по интересам, на сайтах с частными объявлениями, на офлайн-мероприятиях: конференциях, докладах, мастер-классах.

«Кви про кво»

Второе название — «услуга за услугу». Эта техника атаки предполагает общение по электронной почте или телефону. Мошенник представляется сотрудником, например, техподдержки, и предлагает жертве помочь ему устранить определенные неполадки в онлайн-системе или на рабочем месте. Жертва, выполняя его указания, лично передает ему средства доступа к важной информации.

Троянский конь/дорожное яблоко

Метод предполагает подбрасывание «приманки», которая с высокой вероятностью заинтересует потенциальную жертву. Такой приманкой обычно становится носитель информации — например, флеш-карта, CD-диск или карта памяти к телефону. Жертве станет любопытно, что находится на носителе, она вставит их в ноутбук или телефон, а мошенник с помощью специальной программы получит доступ к информации. Приманкой может быть и email-сообщение, которое сулит получение быстрой прибыли, выигрыша, наследства и других вещей, которые точно заинтересуют многих получателей письма и заставят выполнить содержащиеся в нем инструкции.

Обратная социальная инженерия

Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. В этой ситуации мошенники часто прибегают к диверсиям: подстраивают поломку компьютера, проблемы с авторизацией и делают так, чтобы сотрудник попросил их помочь с устранением проблемы.

Что такое социальная инженерия, уже понятно по перечисленным методам. Но это далеко не все, чем пользуются кибермошенники. В мире популярен мобильный банкинг, и социальные инженеры применяют свои знания, чтобы получить доступ к карточным счетам жертвы. Так выделилось отдельное направление, которое называют кардингом. За этим определением скрываются махинации с банковскими картами. Если раньше использовались физические способы получения информации (специальные устройства считывали пароли прямо на терминалах), то теперь это проще сделать с помощью методов социальной инженерии, психологическими приемами заставляя жертву раскрыть номер карты, срок ее действия, CVV-код и получить полный контроль над банковским счетом.

Мошенники активно пользуются социальными сетями, в которых пользователи делятся событиями из личной жизни и увлечениями. Чтобы получить доступ к аккаунту (любому, не только в соцсети), хакеры изучают страницу потенциальной жертвы: когда и где она родилась и живет, кто ее родители, ее хобби, какие мероприятия посещает, с кем дружит. Взломав профиль друга жертвы, легко будет установить с ней контакт и получить нужные сведения, прикрываясь благими намерениями.

Еще один инструмент социальных инженеров — СМС-рассылки. В них обычно сообщают о  выигранных автомобилях и крупных суммах, об угрозе немедленной блокировки банковской карты и попавших в беду родственниках. Человек, у которого таким способом вызвали интерес, сочувствие или страх, способен на многое, в том числе поделиться секретной информацией, не подозревая, что передает ее в руки мошенников.

Методы работы социальных инженеров

Опытный социальный инженер редко использует одну технику сбора данных. Обычно методы социальной инженерии — это комплекс инструментов, которые применяются в зависимости от обстоятельств. Он:

• представляется сотрудником сервисных служб, проверяющим или руководителем;
• подглядывает из-за плеча, чтобы узнать логин и пароль;
• отправляет фишинговые электронные письма и сообщения в мессенджеры;
• тайно записывает нажатия клавиш, пока жертва работает за компьютером;
• записывает голосовые сообщения, похожие на сообщения роботов;
• просит о помощи, где жертва раскроет важны данные.

Атака методами социальной инженерии

• Сбор информации о потенциальном объекте.  Чтобы эффективно применить методы социальной инженерии, нужно знать, с чем и кем имеет дело кибермошенник. В компании преступника может заинтересовать количество сотрудников, графики их работы, перемещения, страхи, конфликты на рабочем месте и другое, что делает их уязвимыми.
• Выбор жертвы и сбор данных о ней. Наибольший интерес представляют данные для авторизации, аккаунты в социальных сетях, сообщения на форумах, в чатах, сведения о перемещении, личный адрес, связи с другими людьми (родственниками, коллегами, друзьями), общедоступная информация из поисковых сервисов.
• Информационная атака. Получение физического или онлайн-доступа к ценной информации, сбор базы логинов/паролей, документы или другая цель, которую преследует кибермошенник. Атака осуществляется после контакта мошенника с жертвой. Установить контакт можно разными способами: в реальном или телефонном разговоре, онлайн (отправив письмо на e-mail или написав в соцсети).
• Использование полученных данных. Информацию, которая попала в руки киберпреступнику, можно использовать для доступа к банковскому счету, чтобы скомпрометировать компанию, попросить выкуп за возврат доступа или нераспространение украденного.

Что такое тест на проникновение

Когда упоминается социальная инженерия, определение ее предполагает, что по ту сторону от жертвы всегда стоит кибермошенник. Это не так. Сегодня инструменты социального инжиниринга используются для повышения информационной безопасности предприятия через тесты на проникновение.

Специалисты, которые занимаются тестированием на проникновение, точно также используют психологические и социологические приемы для получения ценной корпоративной информации. Но их цель — закрыть слабые места, выявить пробелы в знаниях сотрудников и повысить сознательность там, где речь идет о конфиденциальных данных и способах обращения с ними.

Как защитить компанию от социальной инженерии

Так как самым уязвимым элементов в системе безопасности остается человек, мероприятия по защите будут затрагивать именно его. Исключением будет установка последних обновлений для антивирусных приложений и надежного брандмауэра на рабочие машины сотрудников.

Инструкции по работе с информацией

Информация, с которой работает сотрудник, является собственностью компании. То же касается авторизационных данных в корпоративных системах. Некоторые компании уже перешли на регулярную смену прав доступа, но некоторые сотрудники продолжают оставлять логины и пароли на виду, не скрывая их от потенциальных мошенников или легко передаю их третьим лицам без должных оснований.

Инструкции по общению с клиентами/посетителями/техподдержкой

Не важно, кем является человек, который хочет прямо или косвенно получить от сотрудника ценные данные или доступ к ним. Главное, чтобы сотрудник имел четкие инструкции, какую информацию он вправе передавать и на каких основаниях. Третьи лица, которые не связаны с компанией, но интересуются процессами в ней, должны вызывать подозрение и ответную реакцию: о них следует доложить службе безопасности компании.

Повышение осведомленности

Регулярно появляются новые способы информационных атак, методы взлома, в том числе, социальной инженерии. Значит, компании необходимо регулярно обучать персонал принципам работы с корпоративными данными и напоминать об ответственности, которая на них возложена. Сотрудники обязаны знать, к каким последствиям может привести раскрытие конфиденциальных данных с помощью социальной инженерии. Помимо этого, руководству компании следует разработать регламенты и инструкции, касающиеся вопросов хранения, использования, распространения и передачи авторизационных и других данных третьим лицам.

как снизить риск угрозы проникновения

• Социальные инженеры пользуются тем, что психологические манипуляции не требуют больших затрат и специфических знаний (кроме нескольких психологических приемов), их можно применять в течение длительного времени, а еще их сложно обнаружить. Люди, которые владеют ценной информацией или имеют к ней доступ, сравнимы с доступным плодом: они на виду и до них очень легко дотянуться.

Этим активно пользуются мошенники: согласно отчету Verizon, в 2018 году в 17 % случаев утечка данных произошла именно в результате применения методов социальной инженерии. А Джон Макафи (создатель антивируса McAfee) утверждает, что три четверти инструментов среднего хакера – это методы социальной инженерии и у особо успешных хакеров их доля достигает 90 %.

Инструменты социальной инженерии[Инструменты]

В арсенале социального инженера много приемов, и очень редко он использует их по одиночке. Скорее, он будет умело их сочетать в зависимости от ситуации, чтобы достичь максимального эффекта.

Фишинг (fishing) – техника получения логина и пароля для авторизации в компьютерной системе. С этим видом атаки, вероятно, сталкивался каждый интернет-пользователь. Выглядит это так: вы получаете письмо с просьбой перейти по ссылке или нажать на кнопку. А чтобы вы сделали это наверняка, письмо выглядит как важное сообщение от авторитетного сервиса: платежной системы, банка или любого другого, которому вы доверяете и активно пользуетесь.

Достаточно нажать на ссылку или кнопку, авторизоваться на поддельной странице, и ваши логин с паролем окажутся у мошенников. Самые крупные взломы персональных данных за последнее десятилетие всегда начинались с массовой фишинговой рассылки.

Претекстинг (pretexting) – техника атак, где злоумышленник представляется другим человеком и под его видом получает нужные данные. Простейший пример: коллега внезапно звонит с просьбой сообщить информацию, которую знаете только вы. Обычно звонок делают из шумного помещения, как вариант, ночью, когда жертве трудно определить подлинность голоса. Для этого вида атак важно иметь заготовленный сценарий разговора (обман подразумевает голосовое общение), знать несколько фактов о жертве и действовать максимально быстро, не оставляя времени на размышления.

Поиск информации в открытых источниках – сбор данных в социальных сетях. Там можно узнать Ф. И. О. человека и его родных, телефонные номера, клички питомцев, местонахождение и запланированные поездки.

Плечевой серфинг (shoulder surfing) – техника, при которой нужную информацию подсматривают из-за плеча. Проще всего это сделать в местах большого скопления людей: в кафе, общественном транспорте, в зале ожидания аэропорта или вокзала.

Социальная инженерия наоборот (reverse engineering) – жертва сама делится конфиденциальной информацией с мошенником. Тому достаточно представиться сотрудником техподдержки банка, сотового оператора или любой другой организации, в которой человек оставил персональные данные. Внутри компании работает другая схема: злоумышленник предлагает услугу, от которой жертва не может или не хочет отказаться, передавая ему свои данные для авторизации или другую ценную информацию.

Троянский конь (или «дорожное яблоко») – использование физических носителей информации, которые подбрасывают потенциальной жертве (ею может стать любой человек). Флешка или диск «случайно» появляются там, где их легко найти, а чтобы повысить их шансы быть найденными, мошенники наносят на них логотип компании или делают интригующую надпись. Жертве очень хочется узнать, что же находится на носителе, она вставляет его в компьютер и… дальше можно не объяснять, что происходит.

Что будет делать среднестатистический мошенник, чтобы получить информацию о компании с помощью социальной инженерии? Он точно изучит активность ее сотрудников в социальных сетях, просмотрит общедоступные видеоролики и текстовые упоминания об организации. Вероятно, обратится к фишингу, а если позволят обстоятельства, просто подсмотрит данные для авторизации. Люди до сих пор записывают пароли на стикерах и приклеивают их монитор, пользуются корпоративными сервисами в открытых Wi-Fi-сетях. Заметьте, чтобы получить информацию этими способами, мошеннику даже не придется применять сложные психологические приемы или втираться в доверие к потенциальной жертве!

Фазы социальной инженерии

В любом художественном фильме о мошенниках можно увидеть, как работает социальная инженерия на практике: «Поймай меня, если сможешь», «Лучшее предложение», «Афера Томаса Крауна», «Взлом» или «Один дома». Везде прослеживается сценарий, по которому развиваются события.

Социальные инженеры, как и любые хакеры, скрывают свое истинное лицо

Типичная схема действий

Представьте себя в роли социального инженера, которому нужно получить ценную информацию. Тогда дорожная карта будет выглядеть следующим образом:

• • 1. Сбор информации. Начальные сведения помогут ближе изучить цель и понять, с чем вы имеете дело. Подойдут активные и пассивные методы по методологии OSINT (Open source intelligence) – разведки на основе открытых источников. К открытым источникам относятся СМИ, публикации в интернете, общедоступные данные аэросъемок и радиомониторинга, публичные отчеты государственных и коммерческих организаций, профессиональные отчеты, конференции, доклады
    2. Выбор жертвы – человека, слабости которого будут вам полезны. Лучшими претендентами на эту роль станут те, кого легко обмануть, ввести в заблуждение, люди с чувством обиды или выраженной эмпатией
    3. Подготовка технического решения для фишинга. Самая трудоемкая и затратная часть в социальной инженерии, которая включает регистрацию домена, хостинга, их настройку и обкатку
    4. Контакт. Войти в круг доверия жертвы

На финальном этапе вы используете полученную информацию для достижения заветной цели: например, узнать пароль к системе или схему расположения камер видеонаблюдения. В отличие от других мошенников вам, вероятно, не придется заметать следы. Даже если жертва осознает собственный промах, она вряд ли поделится этой информацией с руководством, ведь признаваться в собственной глупости – занятие не самое приятное.

Социальная инженерия и тестирование на проникновение[Тестирование на проникновение]

Разоблачить киберпреступников еще до того, как они нанесут удар по информационной безопасности, помогает тест на проникновение (penetration testing, pentest или пентест). Это спланированная целенаправленная атака, которая позволяет проверить, насколько поведение сотрудников делает компанию уязвимой. Пентесты проводят как в классической IT-среде, так и в других критически важных отраслях: энергетической, транспортной, ресурсодобывающей. Результаты тестирования покажут, соблюдают сотрудники компании принципы информационной безопасности или нет и насколько эффективны меры по повышению их осведомленности в этом вопросе.

Тестирование на проникновение – этичный вид хакинга, когда социальные инженеры в «белых шляпах» (White Hat) действуют с пользой для компании: находят уязвимости, вызванные человеческим фактором. Рейчел Тобак (@RachelTobac), известный «хакер в белой шляпе», упоминает рабочий прием из мира социальных инженеров: «занятые руки открывают двери». Это значит, что пока вы держите коробку с пончиками, кто-нибудь обязательно придержит дверь и позволит вам войти в нее, даже если у вас нет ключа доступа.

Вернемся к тестам на проникновение. В любой сфере они преследуют общие цели:

• • • Узнать, какую информацию злоумышленники могут получить в результате атаки
    • Определить, насколько сотрудники компании поддаются психологическому манипулированию
    • Оценить эффективность действующих политик информационной безопасности
    • Разработать комплекс мероприятий для повышения осведомленности сотрудников

Любое тестирование на проникновение имитирует реальную атаку. Его задача – оценить реальный уровень информационной безопасности в компании и разработать план защиты от кибермошенников.

Пентест будет успешным, если проводить его не формально, а учитывать реальные мотивы и потребности потенциальных жертв. Самое простое, что можно сделать с человеком, – вызвать интерес сообщениями личного характера или возможностью быстро заработать, запугать (ему захочется скрыть некомпетентность или он чувствует угрозу быть ущемленным, наказанным), надавить на жалость.

Этапы теста на проникновение

Penetration testing состоит из следующих этапов:

• • • Разработка плана испытаний
    • Выбор вектора атаки
    • Попытка проникновения
    • Подготовка отчета

Этот условный сценарий поможет понять, знают ли сотрудники о том, что могут стать доступной мишенью, объектом социальной инженерии. Пентест показывает, насколько они подкованы в этом вопросе, придерживаются ли принципов информационной безопасности и вообще эффективны ли эти принципы на практике. И еще одна важная задача – узнать, насколько далеко злоумышленники могут переместиться вглубь компании в физическом и в информационном плане.

Кибермошенники часто ищут жертвы в соцсетях

Пентест в социальной инженерии – что не надо делать

Тестирование на проникновение – это не повод поймать за руку доверчивого сотрудника, а возможность предотвратить потенциальные атаки и повысить осведомленность сотрудников о том, как поддерживать принципы информационной безопасности во благо компании. В идеале результатом пентеста станет разработка программы повышения осведомленности (Security Awareness Program), которая закроет проблемы в уязвимых местах.

Методы защиты от социальной инженерии[Методы защиты]

Защищаться от техник социальной инженерии сложно, так как жертвы часто не догадываются о том, что их обманули и использовали их слабости, чтобы заполучить конфиденциальную информацию. Решить проблему можно одним способом: повысить осознанность сотрудников. А для этого их придется обучить правилам работы с информацией и донести опасность ее раскрытия. Вот что для этого можно сделать.

Определить информацию, уязвимую к атаке

Сотрудники должны уметь классифицировать информацию по степени защищенности и понимать, раскрытие каких данных может причинить вред компании. Например, пользовательские учетные данные всегда принадлежат организации, их нельзя передавать третьим лицам или оставлять в открытом доступе. Значит, придется распрощаться со стикерами, где написаны логины/пароли, не авторизовываться на корпоративных ресурсах через открытые Wi-Fi-сети. Также помогает привычка блокировать ПК или ноутбук в свое отсутствие.

Повысить компетентность в вопросах информационной безопасности

Техники социальной инженерии постоянно совершенствуются, а кибермошенники находят новые способы сыграть на человеческих эмоциях. Потому сотрудникам компании необходимо знать, жертвами каких потенциальных атак они могут стать и как вести себя в подобных ситуациях. Например, куда следует написать/позвонить, если третьи лица запросили у них конфиденциальную информацию или данные для авторизации.

Ограничить права доступа к информационным системам

Доступ на копирование, скачивание, изменение информации должны иметь только те сотрудники, которым это необходимо для выполнения должностных обязанностей. В некоторых компаниях целесообразно запретить использование съемных носителей.

Подготовить инструкции по обмену информацией

В любом отделе и подразделении все – от рядового офисного сотрудника до руководителя – должны иметь четкие инструкции о том, в каких условиях они могут раскрыть важную для компании информацию. В инструкции можно указать, какие сведения можно передавать службам техподдержки, представителям контролирующих органов и т. п.

Обновить антивирусное ПО до актуальной версии

Это поможет сделать компьютеры сотрудников менее уязвимыми к массовым фишинговым атакам. Современное антивирусное ПО включает инструменты для защиты от шпионских и вредоносных программ, и предупреждает при переходе по подозрительным ссылкам. Впрочем, доступа к социальным сетям на рабочем месте лучше не давать – это первое, чем обязательно воспользуются социальные инженеры.

Социальная инженерия. Психология фишинга

Как правило, говоря об уязвимостях, мы подразумеваем разного рода ошибки программирования или недостатки информационных систем, возникшие на этапе их проектирования. Однако есть целый ряд других уязвимостей, существующих непосредственно в голове у человека.

И дело здесь не о недостаточной осведомленности или небрежном отношении к кибербезопасности – как справляться с этими проблемами, более-менее понятно. Просто мозг пользователя иногда срабатывает не так, как хотелось бы экспертам по информационной безопасности, а так, как его вынуждают специалисты по социальной инженерии.

Социальная инженерия подразумевает манипуляции действиями человека без использования технических средств. В контексте кибербезопасности – незаметное пользователя сделать что-то, что подвергает риску их безопасность или безопасность организации, в которой которую они работают.

Цель – вызвать ответную реакцию у жертвы: открыть зараженное вложение электронной почты, перейти по вредоносной ссылке или ответить на ложное уведомление. Успех в значительной степени зависит от удачной маскировки вредоносных и нежелательных сообщений под легитимные.

По сути, социальная инженерия — это сплав социологии и психологии. Совокупность приемов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату. Благодаря этому злоумышленники, играя на эмоциях, чувствах, страхах и рефлексах людей, получают доступ к интересующей их информации. И именно на этой «науке», по большому счету, базируется большая часть современных целевых атак.

Среди чувств, к которым обычно взывают мошенники, можно выделить четыре основных:

• Любопытство
• Жадность
• Страх
• Жалость

Однако их сложно назвать уязвимостями – все-таки это естественные для человека чувства. Это скорее каналы воздействия, через которые манипуляторы пытаются влиять на жертву. В идеале – так, чтобы мозг сработал автоматически, не применяя критическое мышление. Для этого у злоумышленников припасено немало трюков. Вот несколько самых распространенных.

Подчинение авторитету

Это одно из так называемых когнитивных искажений – систематических отклонений в поведении, восприятии и мышлении. Его суть заключается в склонности людей беспрекословно подчиняться человеку, обладающему опытом или определенной властью, игнорируя свои собственные суждения о целесообразности действия.

На практике это может выглядеть как фишинговое письмо, написанное от имени вашего начальника. Например, если он просит подчиненного ознакомиться с содержащимися в письме материалами для нового проекта, то скорее всего получатель автоматически откроет вложенный файл.

Дефицит времени

Один из наиболее частых приемов в психологии манипуляций – создание ощущения дефицита времени. Часто для того, чтобы принять взвешенное, рациональное решение, требуется изучить информацию подробнее. А на это нужно время. Именно его и пытаются лишить жертву мошенники.

Как правило, манипуляторы в таких случаях взывают к чувству страха («В ваш аккаунт пытались зайти, если вход был произведен не вами, немедленно перейдите по ссылке…») или к жажде легкой наживы («Скидка доступна только первым десяти кликнувшим, не упусти свой шанс…»). Тогда появляется высокая вероятность поддаться чувствам и принять эмоциональное, а не рациональное решение.

Письма, пестрящие словами «срочно» и «важно», как раз из этой категории. Ключевые моменты в них часто любят выделять красным цветом для устрашения или для демонстрации фантастического везения, которое вот-вот можно упустить.

Автоматизмы

Автоматизмы в психологии – это действия, реализуемые без непосредственного участия сознания. Автоматизмы бывают первичные (врожденные, никогда не осознававшиеся) и вторичные (прошедшие через сознание и переставшие осознаваться). А еще автоматизмы делятся на моторные, речевые и интеллектуальные.

Злоумышленники пытаются использовать автоматизмы, присылая письма, реакция на которые могла автоматизироваться. Сообщения типа «не получилось доставить сообщение, нажмите для повторной доставки», безумные рассылки с большой кнопкой «отписаться», фальшивые уведомления о новых комментариях в соцсетях и т.д.

Неожиданные откровения

Это еще один, достаточно часто встречающийся вид манипуляций. Суть его заключается в том, что информация, которая следует после некоего признания, воспринимается гораздо менее критически, чем если бы она была подана независимо.

На практике это может выглядеть, как письмо типа: «У нас случилась утечка паролей, проверьте, нет ли вас в списке потерпевших».

Как не поддаться на уловки мошенников

1. Возьмите за правило тщательно обдумывать все письма, в том числе и от начальства. Зачем руководитель просит вас открыть запароленный архив и присылает ключ к нему в том же письме? Почему он просит именно вас перевести деньги новому партнеру? Почему он ставит вам необычную задачу по почте, а не по телефону, как обычно? Если вы заметите какую-нибудь странность, то лучше лишний раз уточнить задание по другому каналу связи, чем подарить мошенникам корпоративные данные или деньги.
2. Не реагируйте сразу на письма, побуждающие к немедленным действиям. Здесь важно сохранять хладнокровие и спокойствие, даже если содержание письма вызвало у вас желание действовать немедленно. Обязательно перепроверьте, от кого пришло это письмо, соответствует ли ссылка отображаемому адресу, легитимен ли домен, прежде чем переходить по ней. Если все равно сомневаетесь – лучше обратиться к специалистам.
3. Если вы заметите за собой склонность к автоматической реакции на какие-то письма, попробуйте выполнить те же действия, только осознанно. Это может привести к «деавтоматизации», нужно лишь активировать свое сознание в нужный момент.
4. Используйте защитные решения с надежными антифишинговыми технологиями. В таком случае большую часть писем от злоумышленников вы просто не увидите.

По материалам сайта kaspersky.ru

В 2020 году мошенники почти в 2 раза чаще использовали социальную инженерию для кражи денег

В 65% случаев жертвами злоумышленников становились женщины.

В прошлом году, на фоне пандемии коронавируса, число атак, которые мошенники совершили при помощи методов социальной инженерии, выросло на 88%. Информация об этом появилась в обзоре Банка России «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах».

Читайте Bloomchain через любимые соцсети: Telegram, VK, FB

• По данным регулятора, в 84% случаев злоумышленники связывались с потенциальной жертвой по телефону. Вторым по популярности каналом оказались SMS-сообщения. На них пришлось 15% эпизодов мошенничества. Реже всего злоумышленники пытались связаться с жертвой через мессенджеры.

Популярные каналы связи, которые мошенники используют, чтобы связаться с потенциальными жертвами. Источник: обзор Банка России «Основные типы компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах».

• Чтобы получить доступ к деньгам клиентов финансовых организаций мошенники, по данным регулятора, чаще всего представлялись сотрудниками служб безопасности банков. Такой сценарий выбирали в 57% случаев.
• В ходе разговора, мошенники выманивали у жертвы информацию, при помощи которой можно получить доступ к ее средствам. В некоторых случаях злоумышленники также провоцировали клиента банка на совершение действий, способных привести к потере денег. В качестве предлога мошенники использовали разные аргументы. Например, жертве мог поступить звонок от якобы сотрудника банка, который обнаружил попытку незаконного списания денег с карты пользователя. Чтобы остановить операцию, мошенник просил назвать код из SMS-сообщения, который, на самом деле подтверждал перевод средств на карту злоумышленника.
• Согласно наблюдениям регулятора, чаще всего от мошенничества с применением социальной инженерии страдают школьники, домохозяйки и пожилые люди. Статистика указывает на то, что в 65% жертвами злоумышленников становятся женщины.

Напомним, ранее «Сбер» выяснил, что социальная инженерия используется в 9 из 10 случаев кибератак на банки.

Как изминились методы социальной инженерии во время пандемии ?

Люди и процессы во время пандемии

В связи с описанными изменениями и тем фактом, что к новому режиму работы привыкли еще не все, у хакеров появились новые векторы взлома.

Четыре стены вместо коллеги напротив

Одно из изменений в работе касается социального фактора. Общение в мессенджерах — тоже общение, но оно не сможет заменить случайную встречу в лифте или офисной кофейне. И тем более корпоративные чаты не заменят обсуждение насущных проблем в кабинете. Но у насыщенной социальной жизни в офисе есть и минусы. В ходе проведения атак методами социальной инженерии мы не раз наблюдали, как одно и то же сообщение пересылается всем коллегам по кабинету, а иногда и на рассылочный адрес отдела. По результатам атак и опроса сотрудников выяснялось, что решение о пересылке сообщения приходило во время обсуждения письма. При работе из дома сотрудники подходят к обсуждению сомнительных писем внимательнее. Социальные группы уменьшаются, и сотрудник поддерживает ежедневное общение с 2–3 коллегами из отдела. Больший процент пользователей отправляет сообщение ИТ-специалистам или скриншот письма только самому доверенному коллеге-другу. Просто так подозрительное письмо никто всему отделу не пересылает.

В то же время у сотрудников на удаленке падает интерес к корпоративной культуре. Сценарии атак, связанные с проведением корпоративов, онлайн-мероприятий, выбором лучшего сотрудника месяца, получают куда меньше внимания, чем во время постоянного нахождения людей в офисе. Снижение заинтересованности и вместе с тем лояльности к работодателю понижает ощущение личной ответственности за сохранность корпоративных данных и чувствительной информации компании.

Эти наблюдения сделали эксперты нашей лаборатории практического анализа защищенности в ходе проведения атак методами социальной инженерии.

Удобная, но небезопасная коммуникация

Изменение способа коммуникации прослеживается и в процессе поиска новых сотрудников.

Нормальной практикой стало назначение даты проведения собеседования в Telegram или WhatsApp. С началом карантина мессенджеры получили еще больше внимания. Назначенное собеседование в Zoom, Discord или Google Meetings позволяет злоумышленнику под видом обновленного резюме или каких-то сертификаций отправлять рекрутерам вредоносные вложения. Если почтовые серверы и антиспам-решения практически никогда не пропускают сомнительные письма, то мессенджеры пока очень лояльны к файлам, которыми обмениваются пользователи.

За последние полгода одним из наших любимых векторов атаки стала тема «студент ищет работу». Под видом лучшего студента на потоке мы обращаемся к HR компании. Далее отправляем архив с «резюме и сопроводительным письмом» в мессенджер во время согласования даты и времени интервью или уже в процессе онлайн-беседы. По сценарию, в архиве, кроме вредоносного ПО, замаскированного под офисные документы, других файлов нет.

При удачном стечении обстоятельств, когда HR работает со своего ноутбука без средств защиты, злоумышленник может получить доступ к компьютеру, корпоративной почте и чувствительным данным сотрудника. Это может повлечь компрометацию такой деликатной информации, как обсуждение условий работы с кандидатами, их зарплатных ожиданий, резюме и т.д.

ОТP не панацея

С карантином резко возрос интерес к одноразовым паролям (One Time Password, OTP). Такие решения мы встречаем постоянно, и многие коллеги считают, что ОТP — панацея от всех бед. Но это не совсем так.

Первая причина — отсутствие исследований о безопасности приложений, которые генерируют эти пароли. Например, до февраля 2020 г. приложение Zoom выглядело как безопасное или хотя бы недырявое, так как не было исследовано должным образом. Оно не было интересно злоумышленникам и исследователям безопасности, пока не стало популярным. Но спустя несколько месяцев в нем обнаружился целый ряд недостатков и уязвимостей. Аналогичная история может произойти и с приложениями, создающими OTP. Их не так много на рынке, и с приходом повсеместной двухфакторной аутентификации они могут стать новой целью для злоумышленников.

Вторая причина заключается в том, что при вводе одноразового пароля на фишинговой странице его просто перехватить. Для хакера нет разницы, какую страницу клонировать — с двумя или тремя полями для ввода. Далее успех зависит от оперативности хакера. Хотя ОТP и действует недолго, при усердном мониторинге перехват пароля — не самая большая проблема.

Один из способов решить проблему перехвата — внедрить мультистеп. В этом случае пользователь сначала вводит логин и пароль и только после входа указывает ОТP. Безусловно, хакер может создать сайт, повторяющий и такой функционал, но это гораздо сложнее. Как дополнительный этап защиты окно для ввода ОТP может появляться спустя некоторое время, после ввода логина и пароля. В этом случае одноразовый пароль с большей вероятностью перестанет быть валидным.

И высший пилотаж — доступ по сертификатам или токенам. Такое решение доступно не для всех систем и платформ, но оно однозначно обезопасит пользователей от ввода учетных данных на фишинговой странице. Хакеры не смогут украсть пароль, если его не существует.

Домашние ПК в зоне риска

Еще одна проблема — переход сотрудников на домашние ноутбуки и компьютеры. Например, рабочий ноутбук «не тянет» по сравнению с личным ПК или работодатель просто не может предоставить ноутбуки для удаленки. Дело может быть и в предпочтениях или в нежелании сотрудников постоянно возить рабочий ноутбук из дома в офис и обратно. В любом случае основная задача ИБ-специалистов — постараться защитить данные компании и на домашних компьютерах. Но ее крайне сложно решить.

Выполнение организационных мер, например соблюдение запрета на использование домашнего ПК в рабочих целях, трудно отследить. Пользователь может включать и выключать рабочий ноутбук по расписанию, открывать там файлы, но все равно умудрится передать данные для отчетной презентации на свой компьютер, чтобы поработать на большом мониторе.

Добровольно-принудительная установка средств защиты на домашние ПК — это трудозатратно и дорого.

Следовательно, генерация и рассылка вредоносных файлов на личную почту сотрудников скоро снова станет популярной.

Почему социальную инженерию пока не победить::

 ВИЗИТКА 

Алексей Дрозд,
начальник отдела информационной безопасности «СёрчИнформ»

Социальная инженерия – метод старый как мир, потому что стары как мир и слабости человека, которыми манипулируют мошенники. Но само понятие закрепилось недавно – в нашу цифровую эпоху, которая способствовала большему усилению эффективности существующих приемов. Мошенникам становится проще преодолевать барьеры доверия. Почему – разберемся в статье

Для начала освежим в памяти «матчасть». Социнженерия – совокупность приемов и методов, которые вынуждают человека действовать в пользу мошенника: сообщать информацию, переходить по ссылкам, переводить деньги и т. д. Методов и их вариаций – огромное множество. Но все они основаны на ошибках восприятия (фишинг, метод «Квид Про Кво»), любопытстве («троянский конь», «дорожное яблоко»), корысти (подложные лотереи, письма нигерийских принцев, китайских банкиров) и других.

Информацию о всех перечисленных методах вы без труда найдете, они хорошо описаны и в специализированных изданиях, и в научных статьях, и в «википедии». Я бы хотел поднять другую тему: почему, несмотря на такую изученность методов социнженерии, против этого «лома» до сих пор не нашли приема, а люди по-прежнему так легко попадаются на уловки мошенников?

<…>

Подпишитесь на журнал
Купите в Интернет-магазине

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Республиканский «бонус за брак» — это социальная инженерия в худшем случае.

Изо всех сил пытаются вырастить маленьких детей и удержаться на ответственной работе? Не нужно беспокоиться, теперь, когда республиканские лидеры стремятся поддержать вашу семью, даже превзойти президента Байдена Джо Байден Кейтлин Дженнер говорит, что выборы не были «украдены», — называет Байдена «нашим президентом» Манчин, Байден сбивается в кучу на фоне разговоров о разрыве пакета T. Overnight Energy: 5 выводы из нападения на колониальный трубопровод | Colonial планирует «существенно» восстановить работу трубопровода к концу недели | Три вопроса о природоохранных целях Байдена. MORE’s 1 доллар.8 триллионов на помощь по уходу за детьми.

Есть одна загвоздка: если вы не состоите в браке, ожидайте налогового штрафа.

Республиканские лидеры борются за стремительную поддержку избирателями усилий Байдена по возрождению экономики и поддержке семей страны. Итак, почему бы не разжечь старые культурные разногласия, настаивая на снижении налогов для «вознаграждения за брак», поскольку сенатор Джош Хоули Джошуа (Джош) Дэвид Хоули Трамп затыкает новую книгу Хоули технологической индустрии. Драма Чейни разоблачает разногласия Республиканской партии с Трампом Опросник Фрэнк Лунц: ‘Я бы сделал ставку’ Трамп — кандидат Республиканской партии 2024 года БОЛЬШЕ (R-Mo.) призывает. Его недавно введенная «Налоговая скидка для родителей» предусматривает ежемесячную выплату только состоящим в браке родителям по 1000 долларов на воспитание своих детей.

Если ваш супруг умирает или развод приводит к единоличному отцовству, республиканцы считают вас морально недостойным их «брачного бонуса», как называет это Хоули. Это сенатор, который поднял кулак в знак солидарности, шествуя перед протестующими, поддерживающими Трампа, за несколько минут до штурма Капитолия в январе прошлого года.

Этот республиканский противник помощи Байдену по уходу за детьми предлагает самую навязчивую попытку социальной инженерии за последние десятилетия.Ведите жизнь домохозяйки Джун Кливер, ожидая возвращения мужа с работы с мартини в руке, а республиканские лидеры снизят ваши налоги. Но почти треть родителей страны больше не копирует фантазию «Предоставьте это бобрам»: они потеряли супруга или воспитывают детей самостоятельно.

Республиканцы утверждают, что Байден будет диктовать, где и как воспитывать детей. «Оказывается, нормальные американцы больше заботятся о своих семьях, чем о своей работе», — написал в Твиттере ДжейДи Вэнс, известный из «Hillbilly Elegy», вероятный кандидат в сенат от республиканской партии в Огайо.«Они хотят такой семейной политики, которая не отправляет их детей в дерьмовый детский сад».

Решили ли убер-консерваторы, такие как Хоули и Вэнс, выступить против протестантской трудовой этики? Или это идеологическое воспоминание 1970-х годов действительно о том, чтобы вернуть работающих матерей в дома, где, по мнению республиканцев, они принадлежат? стоимость ухода за детьми и Pre-K, утверждая, что Большой Брат стучится в дверь

Проницательные консерваторы правы.Высокопоставленные чиновники Белого дома также придерживаются резкой моральной позиции, считая маму и папу рабочими пчелами. «Мы хотим, чтобы родители были в составе рабочей силы, особенно матери», — сказала Сьюзан Райс Секретарь HHS Сьюзан Райс утверждала, что Байден придерживается ограничения на количество беженцев эпохи Трампа: доклад элитарная политика Байдена между работой и семьей не сработает для большинства семей, которые Байден намерен проявить милосердие. , глава совета по внутренней политике Байдена, набрасывая их план бесплатного и универсального pre-K.

Но ядовитые в культурном отношении республиканцы затем искажают то, что Байден предлагает или уже сделал.В марте Конгресс утвердил полностью возмещаемые налоговые льготы для семей. Вскоре после подачи налоговой декларации в этом месяце семьи с низким и средним доходом получат до 11 400 долларов в виде помощи по уходу за ребенком. Возврат налогов полностью взаимозаменяем: наличными для покупки книг или одежды для детей или для оплаты заботливой и нечеткой тети за присмотр за детьми.

Эти налоговые льготы различаются в зависимости от количества детей, находящихся дома, и не зависят от того, состоят ли родители в браке, как того требует план Хоули «Деньги для благочестивых».Последнее предложение Байдена в значительной степени опирается на родительские ваучеры, позволяющие родителям выбирать оплачиваемую няню или дошкольный центр, расширяя федеральную программу, впервые созданную Джорджем Х.У. Бушем в 1990 году.

Вэнс также выступил против всеобщего дошкольного образования в эссе Wall Street Journal на прошлой неделе, сославшись на депрессивное социальное развитие среди детей, окончивших долгосрочную программу Квебека. Это тревожный результат, вероятно, из-за неравномерного качества. Но ученые также обнаружили ускоренное изучение математических концепций среди выпускников дошкольных учреждений, а программа Квебека в целом помогает детям из малообеспеченных семей.

Демократы должны отстаивать, почему каждого родителя следует побуждать записывать своего 3–4-летнего ребенка в государственную школу. Профсоюзы учителей хвалят эту идею, столкнувшись с сокращением набора и изучением нового рынка. Но мы знаем, что качество Pre-K имеет тенденцию к регрессивному распределению: более обеспеченные семьи получают доступ к Pre-K с более сильными учителями и разнообразными занятиями в классе. Необузданное расширение дошкольных учреждений могло бы сократить, а не сократить, резкое неравенство в раннем обучении детей.

Но таких воинов культуры, как Хоули и Вэнс, мало заботит облегчение экономического стресса, от которого страдают миллионы семей, или улучшение начального роста детей.Вместо этого они ищут преимущества, бросая камни в работающих матерей или пристыжая родителей-одиночек, пытающихся правильно воспитать своих детей.

Да, все родители должны сохранять за собой право формировать воспитание детей так, как они это видят. Но в космополитической Америке мы должны поддерживать экономическую жизнеспособность семей, опираясь на доступные и качественные варианты ухода за детьми.

Брюс Фуллер, профессор образования и государственной политики Калифорнийского университета в Беркли, является автором книги «Когда школы работают» (Джонс Хопкинс).

7 новых тактик социальной инженерии, которые используют злоумышленники

Это было время бума социальной инженерии. Пандемия паники, отчаяние, вызванное ростом опасений по поводу доходов, и беспокойство о здоровье и благополучии, облегчили преступникам возможность проникнуться страхом.

Социальная инженерия, конечно же, означает нападение на пользователя, а не на саму вычислительную систему, попытка извлечь информацию или спровоцировать действие, которое приведет к компрометации. Он стар, как ложь, с новым названием компьютерной эры — и это прекрасная метафора развития тактики социальной инженерии.

«Обычно это те же самые уловки, завернутые в новую упаковку — и это именно то, что мы видим», — сказал Перри Карпентер, главный евангелист и специалист по стратегии KnowBe4, компании по обучению вопросам безопасности.

Как известно специалистам по безопасности, упаковка имеет значение, и знакомая атака может проскользнуть через защиту в незнакомом обличье.

Вот некоторые тактические приемы, которые, по мнению экспертов по социальной инженерии, будут расти в 2021 году. на экране радара в прошлом году.

QR-коды — эти машиночитаемые черно-белые матричные коды, расположенные в квадрате — становятся все более популярным способом для компаний взаимодействовать с потребителями и предоставлять услуги в разгар COVID-19. Например, многие рестораны отказались от бумажных меню и вместо этого позволяют посетителям сканировать QR-код с помощью своего смартфона. Точно так же этой весной многие девушки-скауты разместили QR-коды для бесконтактного заказа и доставки файлов cookie.

Но многие веб-сайты, на которые отправляют людей QR-коды, обслуживаются сторонними поставщиками.При сканировании вредоносный QR-код может подключать телефоны к злоумышленникам — так же, как нажатие на плохую ссылку. Та же концепция; новая обертка.

«Люди могут просто предположить, что код и веб-сайт являются законными», — сказал Карпентер.

Методы «доставки» для этой тактики социальной инженерии различаются. Оз Алаше, генеральный директор британской компании CybSafe, занимающейся безопасностью и аналитикой, сказал, что слышал о том, что в некоторых районах падают листовки с мошенническими кодами, которые обещают: «Отсканируйте этот QR-код, чтобы получить шанс выиграть Xbox.

«Часто код ведет на хитрый сайт, который загружает вредоносное ПО на их телефон», — сказал Алаше.

2. Взлом уведомлений браузера

В течение нескольких лет веб-сайты просили посетителей одобрять «уведомления» с сайта. То, что когда-то было полезным способом взаимодействия с читателями и поддержания их в курсе, теперь, конечно же, также является инструментом социальной инженерии.

«Это так называемые push-уведомления, и их можно использовать в качестве оружия», — сказал Карпентер. «Проблема в том, что многие пользователи вслепую нажимают« да », чтобы разрешить эти уведомления.«Хотя многие пользователи усвоили определенный уровень осторожности с веб-браузерами, уведомления больше похожи на системные сообщения от самого устройства, а не браузера.

Даже для пользователей, которые не говорят «да» вслепую, мошенники находят способы установить свои скрипты уведомлений. Тактика включает маскировку согласия на подписку под другое действие, например CAPTCHA, или переключение кнопок «принять» и «отклонить» в предупреждениях о подписке в середине действия.

Как только мошенник получает согласие пользователя (полученное нечестным путем), они начинают заваливать его сообщениями — обычно это фишинговые схемы или мошеннические уведомления, содержащие вредоносное ПО.

3. Мошенничество при совместной работе

С помощью этой тактики социальной инженерии киберпреступники нацелены на профессионалов в областях сотрудничества, сказал Алаше, включая дизайнеров, разработчиков и даже исследователей безопасности. Приманка — это приглашение к совместной работе.

Недавние ограничения на пандемию и расширение работы на дому повысили комфорт людей с помощью удаленного сотрудничества, поэтому эта тактика хорошо подходит для времени.

«Злоумышленники отправляют проект Visual Studio, содержащий вредоносный код.Пользователь самостоятельно запускает программу, и его устройство довольно быстро заражается. Эта атака, по сути, использует желание или потребность помогать или помогать другим в увлеченных проектах », — сказал Алаше.

Цури Бар Йохай, соучредитель и технический директор охранной фирмы Reblaze, сказал, что примеры этой атаки часто хорошо продуманы и демонстрируют большое внимание к деталям.

«Злоумышленники выдавали себя за активных исследователей и создавали социальное доказательство» — при очевидной проверке их исследований третьими сторонами — «с использованием блога, включающего статьи из отраслевых источников в виде« гостевых постов », учетных записей Twitter, видеороликов YouTube, LinkedIn, Discord и т. » он сказал.Подозрительная цель может быть облегчена этим, казалось бы, широким социальным следом.

4. Выдача себя за партнера по цепочке поставок

Джордж Герчоу, руководитель службы безопасности Sumo Logic, сказал, что атаки, использующие отдельные части цепочки поставок организации, в настоящее время представляют собой большую проблему.

«Нелегко защищать то, чего вы не видите, и вы настолько сильны, насколько сильны самые слабые звенья», — сказал Герхов. «Например, было множество целевых электронных писем, которые выглядели так, как будто они были от ваших доверенных партнеров, но на самом деле являются плохими актерами, которые выдают себя за сотрудников, которых вы, возможно, знаете в своей сети.

Герхоу сказал, что он впервые заметил мошеннические предложения подарочных карт, представленные сотрудникам Sumo Logic под видом поощрения или благодарности от реальных деловых партнеров компании.

Но со временем атаки стали еще более детализированными.

«Теперь мы видим эти долгие изощренные попытки построить доверительные отношения или отношения с некоторыми из наших исходящих команд, вся работа которых — помогать. Злоумышленники даже выдавали себя за поставщиков, использующих наш продукт с бесплатными учетными записями, и рассмотрели варианты использования и сценарии, чтобы привлечь опыт внутри нашей компании.

Установив эти доверительные отношения, конечная цель злоумышленников — сделать стандартные тактики социальной инженерии более эффективными, получить помощь в обходе мер безопасности или рассылать вредоносные программы, которые могут поставить под угрозу системы целевой компании.

Атака на SolarWinds, которая делает заголовки, является примером атаки на цепочку поставок — в данном случае это конкретная версия, называемая атакой компрометации электронной почты поставщика (VEC). Как отметили официальные лица SolarWinds, «учетная запись электронной почты была взломана и использовалась для программного доступа к учетным записям целевого персонала SolarWinds, занимающего коммерческие и технические должности.

5. Записи дипфейков

Социальные инженеры теперь используют дипфейки — поразительно реалистичные записи, в которых используется искусственный интеллект для имитации внешнего вида или голоса конкретного человека, чтобы обманом заставить жертв разглашать информацию или выполнять действия, которые приносят пользу злоумышленнику.

Бар Йохай из Reblaze сказал, что атаки с использованием аудио-дипфейка, в которых злоумышленник использует «клонированный» голос, почти неотличимый от голоса реального человека, для создания мошеннической аудиозаписи, вызывают растущую озабоченность.Один из первых успешных примеров — 2019 год, когда фальшивая запись голоса генерального директора использовалась для указания сотруднику немедленно перевести деньги на международный счет.

«Запись была оставлена ​​в качестве голосовой почты для подчиненного, который выполнил мошеннические инструкции и отправил злоумышленникам 243 000 долларов», — сказал Бар Йохай.

Герхов также сказал, что видел, как преступники использовали записи deepfake, чтобы манипулировать персоналом с целью отправки денег или предоставления личной информации — пока только аудиозаписи, но Gerchow считает, что deepfake видео — это всего лишь вопрос времени.

«Обучение, осведомленность, самоотчетность и прозрачность будут единственным способом повысить уровень защиты от этих атак», — сказал Герхов. «Безопасность должна быть доступной и, конечно же, все регистрировать».

6. Фальсификация текста

В то время как текст был каналом для мошенничества с социальной инженерией, Ребекка Херольд, эксперт по конфиденциальности и безопасности IEEE, говорит, что тактика текстовых сообщений становится все более популярной.

«Мы становимся обществом, в котором большая часть населения предпочитает общаться с помощью текстовых сообщений, а не телефона.Сейчас люди чрезвычайно привыкли передавать очень конфиденциальную информацию с помощью текстовых сообщений », — говорит Херольд.

Поскольку за последний год выросли масштабы доставки продуктов и доставки еды, количество мошеннических текстов, связанных с доставкой, растет. Другие распространенные приманки включают тексты, которые обещают информацию о проверках стимулов COVID, которые связывают жертв с веб-сайтом, который выглядит как сайт IRS, и запрашивает конфиденциальную личную информацию, такую ​​как дата рождения и номер социального страхования.

Герольд сказала, что она также видела мошеннические текстовые сообщения, в которых мошенники выдают себя за U.S. Департамент здравоохранения и социальных служб и сообщить жертвам, что они должны пройти «обязательный онлайн-тест на COVID», используя предоставленную ссылку.

«Затем, как и в случае с другими видами мошенничества, их личная информация изымается, и вредоносные программы часто загружаются на их вычислительные устройства», — сказал Херольд.

Как и в случае с QR-кодами, жертвы просто не достигли необходимого уровня осведомленности и осторожности.

7. Типосквоттинг или похожие домены

Карпентер сказал, что типосквоттинг — или похожие домены — часто используются в атаках с целью взлома деловой электронной почты (BEC).Мошенники выдают себя за законные домены, чтобы заставить жертв думать, что они находятся в безопасном месте.

Они делают это с помощью множества уловок, включая неправильное написание домена (подумайте о Gooogle вместо Google) или добавление другого домена верхнего уровня (.uk вместо .co.uk). В отличие от зачастую небрежных версий прежних дней, сегодня эти сайты могут иметь сложный дизайн, тщательно детализированную имитацию законных сайтов и сложную функциональность.

«Жертвы социальной инженерии обычно обманом заставляют либо почувствовать психологическую безопасность по своему выбору, либо искать психологическую безопасность таким образом, чтобы это сыграло на руку злоумышленнику», — сказал Карпентер.

Преступники настраивают эти сайты не только для доставки вредоносных программ, но и для сбора информации о кредитных картах или других конфиденциальных данных с помощью поддельных полей входа или других поддельных форм.

Copyright © 2021 IDG Communications, Inc.

Что такое социальная инженерия? Определение и предотвращение распространенных угроз социальной инженерии

По мере того, как атаки социальной инженерии становятся все более изощренными и частыми, компаниям следует рассматривать обучение сотрудников как первую линию защиты.Узнайте, как распознать и избежать атак социальной инженерии, из этой серии статей о защите данных 101.

Определение социальной инженерии

Социальная инженерия — это нетехническая стратегия, которую используют кибер-злоумышленники, которая в значительной степени полагается на человеческое взаимодействие и часто предполагает обман людей с целью нарушения стандартных методов безопасности. Успех методов социальной инженерии зависит от способности злоумышленников манипулировать жертвами, заставляя их выполнять определенные действия или предоставлять конфиденциальную информацию.Сегодня социальная инженерия признана одной из величайших угроз безопасности, с которыми сталкиваются организации. Социальная инженерия отличается от традиционного взлома в том смысле, что атаки социальной инженерии могут быть нетехническими и не обязательно связаны с компрометацией или эксплуатацией программного обеспечения или систем. В случае успеха многие атаки социальной инженерии позволяют злоумышленникам получить законный авторизованный доступ к конфиденциальной информации.

Почему и как используется социальная инженерия

Социальные инженеры — это современная форма мошенников или мошенников.Они могут пытаться получить доступ к компьютерным сетям или хранилищам данных, завоевывая доверие авторизованных пользователей или крадя учетные данные этих пользователей, чтобы выдать себя за доверенных лиц. Социальные инженеры обычно полагаются на естественную помощь людей или пытаются использовать свои предполагаемые слабости личности. Например, они могут позвонить с симулированной неотложной проблемой, требующей немедленного доступа к сети. Социальные инженеры, как известно, апеллируют к тщеславию, авторитету, жадности или другой информации, полученной в результате подслушивания или онлайн-расследования, часто через социальные сети.

Киберпреступники используют тактику социальной инженерии, чтобы убедить людей открыть вложения электронной почты, зараженные вредоносным ПО, убедить ничего не подозревающих людей раскрыть конфиденциальную информацию или даже запугать людей, заставив их установить и запустить вредоносное ПО.

Типы атак социальной инженерии

Ваша организация должна предпринять шаги по обучению сотрудников распространенным типам атак социальной инженерии, включая травлю, фишинг, предтексты и quid pro кво, целевой фишинг и взлом.Хотя существуют технологические решения, которые помогают смягчить последствия социальной инженерии (например, фильтры электронной почты, брандмауэры и инструменты мониторинга сети или данных), наличие базы сотрудников, способных распознавать и избегать распространенных тактик социальной инженерии, в конечном итоге является лучшей защитой от этих схем. Вот разбивка общих техник социальной инженерии:

• Приманка — Злоумышленники проводят атаки с приманкой, когда они оставляют зараженное вредоносным ПО устройство, такое как USB-флеш-накопитель или компакт-диск, в месте, где кто-то, вероятно, его найдет.Успех атаки наживки зависит от представления о том, что человек, обнаруживший устройство, загрузит его на свой компьютер и, не зная, установит вредоносное ПО. После установки вредоносная программа позволяет злоумышленнику проникнуть в систему жертвы.
• Фишинг — Фишинг происходит, когда злоумышленник осуществляет мошеннические сообщения с жертвой, замаскированные под законные, часто утверждающие или кажущиеся из надежного источника. При фишинг-атаке получателя заставляют установить вредоносное ПО на свое устройство или поделиться личной, финансовой или деловой информацией.Электронная почта — самый популярный способ связи для фишинговых атак, но для фишинга также могут использоваться приложения чата, социальные сети, телефонные звонки или поддельные веб-сайты, которые выглядят законными. Некоторые из самых ужасных фишинговых атак связаны с просьбой о благотворительности после стихийных бедствий или трагедий, эксплуатируя добрую волю людей и призывая их делать пожертвования на благо, вводя личную или платежную информацию.
• Pretexting — Pretexting происходит, когда злоумышленник фабрикует ложные обстоятельства, чтобы заставить жертву предоставить доступ к конфиденциальным данным или защищенным системам.Примеры атак с предлогом включают мошенничество, которое притворяется, что ему нужны финансовые данные для подтверждения личности получателя, или маскируется под доверенное лицо, такое как член ИТ-отдела компании, чтобы обманом заставить жертву раскрыть учетные данные для входа или предоставить доступ к компьютеру. .
• Quid pro quo — Атака quid pro quo происходит, когда злоумышленники запрашивают у кого-то личную информацию в обмен на что-то желаемое или какую-то компенсацию.Например, злоумышленник запрашивает учетные данные для входа в систему в обмен на бесплатный подарок. Помните: если это звучит слишком хорошо, чтобы быть правдой, вероятно, так оно и есть.
• Целевой фишинг — Целевой фишинг — это узконаправленная фишинговая атака, направленная на конкретного человека или организацию. В целевых фишинговых атаках используются личные данные получателя, чтобы завоевать доверие и выглядеть более легитимными. Часто эта информация берется из учетных записей жертв в социальных сетях или из других источников в Интернете.Персонализируя свою тактику фишинга, целевые фишеры имеют более высокие показатели успеха, обманывая жертв, чтобы они предоставили доступ или разгласили конфиденциальную информацию, такую ​​как финансовые данные или коммерческие секреты.
• Tailgating — Tailgating — это метод физической социальной инженерии, который происходит, когда неуполномоченные лица следуют за авторизованными лицами в безопасное место. Цель расследования — получить ценную собственность или конфиденциальную информацию. Захват может произойти, когда кто-то просит вас держать дверь открытой, потому что он забыл свою карту доступа, или просит одолжить ваш телефон или ноутбук для выполнения простой задачи, а вместо этого устанавливает вредоносное ПО или крадет данные.

Социальная инженерия представляет собой серьезную и постоянную угрозу для многих организаций и индивидуальных потребителей, которые становятся жертвами этих минусов. Обучение — это первый шаг к тому, чтобы ваша организация не стала жертвой сообразительных злоумышленников, использующих все более изощренные методы социальной инженерии для получения доступа к конфиденциальным данным.

Теги: Защита данных 101, Социальная инженерия

Что такое социальная инженерия? Атаки, методы и предотвращение

Подробности

Последнее обновление: 13 апреля 2021 г.

Что такое социальная инженерия?

Социальная инженерия — это искусство манипулирования пользователями компьютерной системы с целью раскрытия конфиденциальной информации, которая может быть использована для получения несанкционированного доступа к компьютерной системе.Этот термин также может включать такие действия, как использование человеческой доброты, жадности и любопытства для получения доступа к зданиям с ограниченным доступом или побуждения пользователей к установке программного обеспечения для бэкдора.

Знание уловок, используемых хакерами, чтобы обманом заставить пользователей раскрыть важную информацию для входа в систему, является основополагающим для защиты компьютерных систем

В этом руководстве мы познакомим вас с общими приемами социальной инженерии и тем, как вы можете придумать меры безопасности для противостоять им.

Темы, затронутые в этом руководстве

Как работает социальная инженерия?

ЗДЕСЬ,

• Сбор информации : Это первый этап, на котором человек узнает как можно больше о предполагаемой жертве. Информация собирается с веб-сайтов компаний, других публикаций, а иногда и путем общения с пользователями целевой системы.
• План атаки : злоумышленники описывают, как он / она намеревается выполнить атаку.
• Инструменты для получения : К ним относятся компьютерные программы, которые злоумышленник будет использовать при запуске атаки.
• Атака : Используйте слабые места в целевой системе.
• Использовать полученные знания : Информация, собранная в ходе тактики социальной инженерии, такая как имена домашних животных, даты рождения основателей организации и т. Д., Используется в атаках, таких как угадывание пароля.

Общие методы социальной инженерии:

Методы социальной инженерии могут принимать различные формы . Ниже приводится список наиболее часто используемых техник.

• Уязвимость к знакомству : Пользователи менее подозрительно относятся к людям, с которыми они знакомы. Злоумышленник может ознакомиться с пользователями целевой системы до атаки социальной инженерии. Злоумышленник может взаимодействовать с пользователями во время еды, когда пользователи курят, он может присоединиться к ним, на общественных мероприятиях и т. Д. Это делает злоумышленника знакомым для пользователей. Предположим, что пользователь работает в здании, которому для доступа требуется код доступа или карта; злоумышленник может следить за пользователями, когда они входят в такие места.Пользователи больше всего любят держать дверь открытой для злоумышленника, поскольку они знакомы с ними. Злоумышленник также может запросить ответы на такие вопросы, как где вы встретили своего супруга, имя вашего учителя математики в старшей школе и т. Д. Пользователи, скорее всего, дадут ответы, поскольку доверяют знакомому лицу. Эта информация может быть использована для взлома учетных записей электронной почты и других учетных записей, которые задают аналогичные вопросы, если кто-то забудет свой пароль.
• Запугивающие обстоятельства : Люди склонны избегать людей, которые запугивают окружающих.Используя этот прием, злоумышленник может сделать вид, что ведет жаркий спор по телефону или соучастником схемы. Затем злоумышленник может запросить у пользователей информацию, которая будет использована для компрометации безопасности пользовательской системы. Пользователи, скорее всего, дадут правильные ответы, чтобы избежать конфронтации со злоумышленником. Этот метод также можно использовать, чтобы избежать проверки на контрольно-пропускном пункте.
• Фишинг : этот метод использует обман и обман для получения личных данных от пользователей.Социальный инженер может попытаться выдать себя за настоящий веб-сайт, такой как Yahoo, а затем попросить ничего не подозревающего пользователя подтвердить имя и пароль своей учетной записи. Этот метод также можно использовать для получения информации о кредитной карте или любых других ценных личных данных.
• Отслеживание : Этот метод предполагает отслеживание пользователей позади, когда они входят в зоны ограниченного доступа. Из соображений человеческой вежливости пользователь, скорее всего, впустит социального инженера в запретную зону.
• Использование человеческого любопытства : Используя эту технику, социальный инженер может намеренно сбросить зараженный вирусом флэш-диск в место, откуда пользователи могут легко его достать.Пользователь, скорее всего, подключит флэш-диск к компьютеру. На флэш-диске может автоматически запускаться вирус, или у пользователя может возникнуть соблазн открыть файл с таким именем, как «Отчет о переоценке сотрудников» 2013.docx, который на самом деле может быть зараженным файлом.
• Использование человеческой жадности : Используя эту технику, социальный инженер может соблазнить пользователя обещаниями заработать много денег в Интернете, заполнив форму и подтвердив свои данные, используя данные кредитной карты и т. Д.

Счетчик социальной инженерии Меры

Большинство методов, используемых социальными инженерами, связаны с манипулированием человеческими предубеждениями .Противодействовать таким методам организация может:

• Чтобы противостоять эксплойту знакомств, пользователи должны быть обучены, чтобы не подменять знакомство мерами безопасности. Даже люди, с которыми они знакомы, должны доказать, что у них есть разрешение на доступ к определенным областям и информации.
• Чтобы противостоять атакам устрашающих обстоятельств, пользователей должны быть обучены определять методы социальной инженерии, которые ищут конфиденциальную информацию и вежливо говорят «нет».
• Чтобы противостоять фишинговым методам , большинство сайтов, таких как Yahoo, используют безопасные соединения для шифрования данных и подтверждения того, что они являются тем, кем себя выдают. Проверка URL-адреса может помочь вам обнаружить поддельные сайты. . Не отвечайте на электронные письма с просьбой предоставить личную информацию .
• Чтобы противостоять атакам, пытающимся скрыться, пользователей должны быть обучены не позволять другим использовать их уровень допуска для получения доступа в закрытые зоны. Каждый пользователь должен использовать собственное разрешение доступа.
• Чтобы противостоять человеческому любопытству , лучше отправить выбранные флеш-диски системным администраторам , которые должны просканировать их на вирусы или другие инфекции. предпочтительно на изолированной машине.
• Чтобы противостоять методам, использующим человеческую жадность , сотрудники должны быть обучены в отношении опасностей попадания в такие мошенничества.

Резюме

• Социальная инженерия — это искусство использования человеческого фактора для получения доступа к несанкционированным ресурсам.
• Социальные инженеры используют ряд методов, чтобы обманом заставить пользователей раскрыть конфиденциальную информацию.
• Организации должны иметь политики безопасности, предусматривающие меры противодействия социальной инженерии.

Социальная инженерия (фишинговые и вводящие в заблуждение сайты) | Центр поиска

Социальная инженерия — это контент, который заставляет посетителей делать что-то опасное, например раскрывать конфиденциальную информацию или загружать программное обеспечение.Если Google обнаруживает, что ваш веб-сайт содержит контент социальной инженерии, браузер Chrome может отображать предупреждение «Впереди обманчивый сайт», когда посетители просматривают ваш сайт. Вы можете проверить, есть ли подозрения на то, что какие-либо страницы вашего сайта содержат атаки социальной инженерии, посетив отчет о проблемах безопасности.

Обзор

Что такое социальная инженерия?

Атака социальной инженерии — это когда веб-пользователя обманом заставляют делать что-то опасное в сети.

Существуют различные типы атак социальной инженерии:

• Фишинг: Сайт обманом заставляет пользователей раскрыть их личную информацию (например, пароли, номера телефонов или кредитные карты).В этом случае контент делает вид, что действует, или выглядит и ощущается как доверенное лицо — например, браузер, операционная система, банк или правительство.
• Обманчивый контент: Контент пытается обманом заставить вас сделать то, что вы сделали бы только для доверенного лица — например, поделиться паролем, позвонить в службу технической поддержки, загрузить программное обеспечение, или контент содержит рекламу, которая содержит ложные утверждения. программное обеспечение этого устройства устарело, что побуждает пользователей устанавливать нежелательное программное обеспечение.
• Недостаточно маркированные сторонние услуги: Сторонние услуги — это лицо, которое управляет сайтом или услугой от имени другой организации. Если вы (третье лицо) управляете сайтом от имени другого (первого) лица, не уточняя отношения, это может быть отмечено как социальная инженерия. Например, если вы (первая сторона) запускаете благотворительный веб-сайт, который использует веб-сайт управления пожертвованиями (сторонний) для обработки коллекций для вашего сайта, на сайте пожертвований должно быть четко указано, что это сторонняя платформа, действующая от имени этой благотворительной организации. сайт, иначе это можно было бы рассматривать как социальную инженерию.

Google Safe Browsing защищает веб-пользователей, предупреждая пользователей перед посещением страниц, которые постоянно занимаются социальной инженерией.

веб-страниц считаются социальной инженерией, если они:

• Притворись, что действуешь или выглядишь и чувствуешь себя как доверенное лицо, например, на собственном устройстве или браузере, или на самом веб-сайте, или
• Попробуйте обманом заставить вас сделать то, что вы делаете только для доверенного лица, например сообщить пароль, позвонить в службу технической поддержки или загрузить программное обеспечение.

Социальная инженерия во встроенном контенте

Социальная инженерия также может появляться в контенте, который встроен в безобидные веб-сайты, обычно в рекламе. Встроенный контент социальной инженерии является нарушением политики для главной страницы.

Иногда встроенный контент социальной инженерии будет виден пользователям на главной странице, как показано в примерах ниже. В других случаях хост-сайт не содержит видимой рекламы, но ведет пользователей на страницы социальной инженерии через всплывающие окна, всплывающие окна или другие типы перенаправления.В обоих случаях этот тип встроенного контента социальной инженерии приведет к нарушению политики для главной страницы.

Но я не занимаюсь социальной инженерией!

Обманчивый контент социальной инженерии может быть включен через ресурсы, встроенные в страницу, например изображения, другие сторонние компоненты или рекламу. Такой вводящий в заблуждение контент может заставить посетителей сайта загрузить нежелательное программное обеспечение.

Кроме того, хакеры могут взять под контроль невинные сайты и использовать их для размещения или распространения контента социальной инженерии.Хакер может изменить содержимое сайта или добавить на сайт дополнительные страницы, часто с намерением заставить посетителей расстаться с личной информацией, такой как номера кредитных карт. Вы можете узнать, был ли ваш сайт идентифицирован как сайт, на котором размещается или распространяется контент социальной инженерии, проверив отчет о проблемах безопасности в Search Console.

См. Нашу справку по взломанным сайтам, если вы считаете, что ваш сайт был взломан.

Примеры нарушений социальной инженерии

Устранение проблемы

Если ваш сайт помечен как содержащий социальную инженерию (вводящий в заблуждение контент), убедитесь, что на вашей странице не используются какие-либо методы, описанные выше, а затем выполните следующие действия:

1. Зарегистрируйтесь с помощью Search Console .
   • Убедитесь, что вы являетесь владельцем своего сайта в Search Console и что не было добавлено новых подозрительных владельцев.
   • Проверьте отчет о проблемах безопасности, чтобы узнать, не указан ли ваш сайт как содержащий обманчивый контент (термин для сообщения о социальной инженерии). Посетите несколько примеров помеченных URL-адресов, перечисленных в отчете, но используйте компьютер, не входящий в сеть, обслуживающую ваш веб-сайт (умные хакеры могут отключить свои атаки, если они думают, что посетитель является владельцем веб-сайта).
2. Удалить вводящий в заблуждение контент .Убедитесь, что ни одна из страниц вашего сайта не содержит вводящего в заблуждение контента. Если вы считаете, что Безопасный просмотр классифицировал веб-страницу как ошибочную, сообщите об этом здесь.
3. Проверьте сторонние ресурсы, включенные в ваш сайт . Убедитесь, что любая реклама, изображения или другие встроенные сторонние ресурсы на страницах вашего сайта не вводят в заблуждение.
   • Обратите внимание, что рекламные сети могут чередовать объявления, показываемые на страницах вашего сайта. Поэтому вам может потребоваться обновить страницу несколько раз, прежде чем вы сможете увидеть какие-либо объявления социальной инженерии.
   • Некоторые объявления могут отображаться по-разному на мобильных устройствах и настольных компьютерах. Вы можете использовать инструмент проверки URL-адресов, чтобы просматривать свой сайт как на мобильном устройстве, так и на компьютере.
   • Следуйте инструкциям сторонних служб, описанным ниже, в отношении любых сторонних служб, таких как платежные службы, которые вы используете на своем сайте.
4. Запросить обзор . После удаления всего содержания социальной инженерии со своего сайта вы можете запросить проверку безопасности в отчете о проблемах безопасности.Проверка может занять несколько дней.

Рекомендации сторонним службам

Если вы добавляете на свой сайт стороннюю службу, вы должны соответствовать следующим условиям, чтобы вас не называли социальной инженерией:

• На каждой странице сторонний сайт должен четко указываться сторонний бренд, чтобы пользователи понимали, кто управляет сайтом. Например, добавив сторонний бренд вверху страницы.
• На каждой странице, содержащей собственный брендинг, явно укажите отношения между первой и третьей стороной и предоставьте ссылку для получения дополнительной информации.Например, такая инструкция:

Эта служба размещается на Example.com от имени Example.charities.com. Дополнительная информация

Хорошее руководство по удобству использования состоит в том, понимает ли пользователь, просматривающий страницу изолированно, на каком сайте он находится, а также отношения между первой и третьей стороной в любое время.

Передовой опыт: Если вам нужна сторонняя организация для оказания базовой услуги поддержки для вашего сайта, лучше всего использовать для этой услуги стороннюю компанию, отвечающую отраслевым стандартам.Например, для управления аутентификацией пользователей на вашем сайте вам следует использовать OAuth, а не управлять аутентификацией самостоятельно.

социальная инженерия — Глоссарий | CSRC

Попытка обманом заставить кого-то раскрыть информацию (например, пароль), которая может быть использована для атаки на системы или сети.
Источник (и):

CNSSI 4009-2015
из
NIST SP 800-61 Ред.2
NIST SP 800-61 Ред. 2
под социальной инженерией

NIST SP 800-82 Ред. 2
под социальной инженерией
из
НИСТ СП 800-61

Процесс попытки обманом заставить кого-то раскрыть информацию (например,g., пароль).
Источник (и):

НИСТ СП 800-115
под социальной инженерией

Акт обмана человека с целью раскрытия конфиденциальной информации, получения несанкционированного доступа или совершения мошенничества путем установления связи с этим человеком для получения уверенности и доверия.
Источник (и):

НИСТ СП 800-63-3
под социальной инженерией

Общий термин для злоумышленников, пытающихся обманом заставить людей раскрыть конфиденциальную информацию или выполнить определенные действия, такие как загрузка и выполнение файлов, которые кажутся безобидными, но на самом деле являются вредоносными.
Источник (и):

НИСТ СП 800-114
[Заменено]
под социальной инженерией

Акт обмана человека с целью раскрытия конфиденциальной информации путем установления связи с этим человеком для получения уверенности и доверия.
Источник (и):

НИСТ СП 800-63-2
[Заменено]
под социальной инженерией

4 угрозы социальной инженерии, за которыми нужно следить — и как их остановить

Если у вас возникли проблемы с кибербезопасностью или произошел инцидент, вам поможет IBM X-Force IRIS.Свяжитесь с нами. Горячая линия США 1-888-241-9812 ; Горячая линия по всему миру (+001) 312-212-8034

Социально предприимчивые злоумышленники устают от низкой успешности массовых фишинговых кампаний и обращаются к более продвинутым уловкам. Если есть какая-либо гарантия относительно будущего кибербезопасности, так это тот факт, что киберпреступники всегда следят за деньгами. Тактика, техника и процедуры (ДТП) будут продолжать развиваться для достижения максимальной отдачи от атак.Социальная инженерия по-прежнему остается одной из самых распространенных ТТП, используемых киберпреступниками, либо отдельно, либо в сочетании с другими методами взлома.

Социальная инженерия определяется как психологическая манипуляция жертвой с целью заставить ее совершить определенное поведение — чаще всего, передача учетных данных, отказ от доступа к конфиденциальным данным или перевод средств. Невозможно отделить вектор социальной инженерии от его самого известного компонента, фишинга, но фишинговые атаки — это не все, о чем следует беспокоиться руководителям информационной безопасности (CISO).Тенденции в области кибербезопасности показывают, что количество высоконаправленных атак социальной инженерии растет пропорционально другим TTP в этой категории. Вот что вам нужно знать, чтобы защитить свою организацию и себя.

4 угрозы социальной инженерии, к которым нужно подготовиться

Хотя фишинговые письма по-прежнему представляют угрозу для бизнеса, это еще не все, о чем вам нужно беспокоиться. Согласно недавнему исследованию PhishLabs, злоумышленники все чаще нацелены на программное обеспечение как услугу (SaaS) и финансовые учетные данные в электронных письмах, и меньше фишинговых писем, чем когда-либо, содержат вредоносное ПО.Ваш бизнес с большей вероятностью, чем когда-либо, столкнется с тщательно спланированной продвинутой социальной угрозой, нацеленной на наиболее уязвимых непреднамеренных инсайдеров в вашей организации, включая новых сотрудников, руководителей высшего звена и других лиц, владеющих ключами к конфиденциальным данным или средствам.

Узнать больше об обнаружении внутренних угроз

1. Компрометация деловой электронной почты

Согласно данным IBM X-Force Threat Intelligence Index 2019 года, 29% атак, проанализированных X-Force Incident Response and Intelligence Services (IRIS), были связаны с фишинговыми письмами.Сорок пять процентов этих атак были связаны с компрометацией корпоративной электронной почты (BEC) или узконаправленным мошенничеством, включающим взлом учетной записи электронной почты человека для проведения несанкционированных переводов средств.

Центр жалоб на Интернет-преступления (IC3) охарактеризовал BEC как мошенничество на сумму 12 миллионов долларов и отметил, что BEC не делает различий по отрасли или размеру организации. Без надежных методов управления паролями или поведенческой аналитики для обнаружения необычных шаблонов BEC может быть легким и выгодным для киберпреступников.

2. Вымогательство

Число прямых попыток вымогательства растет. Согласно недавнему исследованию Digital Shadows, они также очень успешны. Злоумышленники используют дешевый и простой доступ к учетным данным, скомпрометированным в результате других атак, чтобы убедить цели, что они были взломаны. Сексторция — это обычная практика, которая включает хорошо скоординированные кампании, чтобы убедить руководителей и других высокопоставленных лиц в том, что у злоумышленников есть неловкие доказательства. Эти атаки обещают раскрытие предполагаемых доказательств, если требования об оплате не будут выполнены.

Рассматривая тенденции кибербезопасности, злоумышленники также начали использовать модели краудфандинга для увеличения доходов от конфиденциального контента вместо того, чтобы требовать выкуп непосредственно от своих жертв. Это может быть особенно выгодным способом продать доступ к корпоративной интеллектуальной собственности. Некоторые из наиболее хорошо скоординированных кампаний происходят из того, что Digital Shadows называет «поистине глобальными операциями, с серверами, сканирующими пять континентов».

«За три года, что я проработал в Digital Shadows, мы всегда видели эти параллели [между киберпреступным подпольем] и законным бизнесом», — сказал директор по информационной безопасности Digital Shadows Рик Холланд в интервью MIS Training Institute.«Преступникам становится все проще и легче».

3. Предварительный текст

Хотя предлог составляет небольшой процент от общего числа атак социальной инженерии на организации, согласно отчету Verizon о расследовании утечки данных за 2018 год, он утроился с 60 атак в 2017 году до 170 атак в 2018 году. Эта целенаправленная форма социальной инженерии включает в себя расширенный диалог между инсайдером и кем-то, выдающим себя за коллегу или продавца. Под ложным предлогом посторонний будет общаться до тех пор, пока не заработает достаточно доверия, чтобы получить доступ к безопасной внутренней системе, конфиденциальным данным или безопасному денежному переводу.Эта возникающая угроза может привести к устранению эффективных технических барьеров.

4. Мошенничество с китобойным промыслом и кошачьим промыслом

В прошлом году богатый австралийский бизнесмен потерял 1 миллион долларов из-за уникального «кошачьего» мошенничества, в котором использовалась комбинация китобойного промысла и ловли сома или методов имитации. Помощник этого человека получил по электронной почте запрос от женщины, утверждающей, что она подруга 87-летней жертвы, Нэнси Джонс. Джонс запросил денежный перевод в размере 1 миллиона долларов, и помощник согласился.

Количество китобойных атак, нацеленных на крупные корпорации, намного меньше, чем миллионы фишинговых писем, отправляемых за квартал, но они наносят значительно больший урон. По оценкам Института InfoSec, электронные письма, адресованные руководителям и другим лицам, обладающим ключами к финансовому контролю, собрали не менее 1,8 миллиарда долларов только от американских корпораций.

Ответ на растущий вектор угроз социальной инженерии

Хотя обучение навыкам безопасности остается критически важным средством защиты от самых массовых форм атак социальной инженерии, организациям пора выйти за рамки базовых знаний пользователей.Некоторые из самых прибыльных атак на сегодняшний день связаны с криминальными методами, которые не видны невооруженным глазом. Неумышленные инсайдеры — самое слабое звено в любой организации, и сейчас как никогда важно задействовать комплексный план обеспечения киберустойчивости, включая симуляционное обучение и надежный план обеспечения устойчивости.

Разведка с открытым исходным кодом, свободно распространяемая в профилях сотрудников и бизнеса в социальных сетях, может использоваться как корм для создания интеллектуальной социальной атаки. Это означает, что пора удвоить основные усилия, такие как эффективное управление пользователями и обучение, а также обратить внимание на решения по обеспечению киберустойчивости для наиболее сложных социальных угроз.

Поведенческая аналитика — еще одна важная защита от потенциальных убытков, связанных с BEC или pretexting, а также от старых форм атак социальной инженерии, таких как фишинговые электронные письма, нацеленные на учетные данные облака. По мере того как киберпреступники продолжают развиваться, инвестиции в надежную экосистему безопасности, включающую когнитивные возможности, могут позволить службам безопасности обнаруживать самые изощренные угрозы до того, как они приведут к денежному переводу или аналогичным дорогостоящим убыткам.

Снизьте риск кибератак с помощью управления привилегированным доступом (PAM)

.