Как понизить роль социальной инженерии в угрозе проникновения

Защита от проникновения – это всегда комплексная работа, которая предполагает и автоматические, и ручные методы проверки. Но по-прежнему самым уязвимым звеном остается человек: он имеет доступ к информации и на него можно воздействовать методами социальной инженерии. Рассказываем, как снизить влияние этого фактора на информационную безопасность. Социальная инженерия – ряд методов, которыми пользуются мошенники, чтобы «взломать» людей с целью незаконно получить от них ценную информацию или средства доступа к ней. Эдакий биохакинг без применения технических средств. Вместо них мошенники используют психологические манипуляции и знания социологии. Изначально эти приемы считались незаконными, но сегодня с их помощью компании находят и ликвидируют пробелы в информационной безопасности.

Причины уязвимости для социальной инженерии[Причины уязвимости]

Почему человека считают самым слабым звеном в информационной безопасности? Однозначного ответа нет, но эксперты в этой теме указывают на качества, свойственные большинству из нас, и эмоции, испытываемые многими, – это страх, доверие, алчность, желание помочь ближнему. Социальная инженерия – угроза информационной безопасности

Профессор психологии Роберт Чалдини в своем бестселлере «Психология влияния» (1984 г.) описал шесть принципов влияния, которые применяют социальные инженеры:

• Взаимность: предпочитаем платить добром за добро
• Последовательность: придерживаемся убеждений, соответствующих нашим ценностям
• Социальное доказательство: соглашаемся с тем, что делает большинство
• Власть и авторитет: готовы идти за людьми, которым доверяем и которых уважаем
• Симпатия: с удовольствием выполняем просьбы людей, которые нам нравятся
• Дефицит: желаем того, что нам недоступно
Социальные инженеры пользуются тем, что психологические манипуляции не требуют больших затрат и специфических знаний (кроме нескольких психологических приемов), их можно применять в течение длительного времени, а еще их сложно обнаружить. Люди, которые владеют ценной информацией или имеют к ней доступ, сравнимы с доступным плодом: они на виду и до них очень легко дотянуться.


Этим активно пользуются мошенники: согласно отчету Verizon, в 2018 году в 17 % случаев утечка данных произошла именно в результате применения методов социальной инженерии. А Джон Макафи (создатель антивируса McAfee) утверждает, что три четверти инструментов среднего хакера – это методы социальной инженерии и у особо успешных хакеров их доля достигает 90 %.

Инструменты социальной инженерии[Инструменты]

В арсенале социального инженера много приемов, и очень редко он использует их по одиночке. Скорее, он будет умело их сочетать в зависимости от ситуации, чтобы достичь максимального эффекта.

Фишинг (fishing) – техника получения логина и пароля для авторизации в компьютерной системе. С этим видом атаки, вероятно, сталкивался каждый интернет-пользователь. Выглядит это так: вы получаете письмо с просьбой перейти по ссылке или нажать на кнопку. А чтобы вы сделали это наверняка, письмо выглядит как важное сообщение от авторитетного сервиса: платежной системы, банка или любого другого, которому вы доверяете и активно пользуетесь.

Достаточно нажать на ссылку или кнопку, авторизоваться на поддельной странице, и ваши логин с паролем окажутся у мошенников. Самые крупные взломы персональных данных за последнее десятилетие всегда начинались с массовой фишинговой рассылки.

Претекстинг (pretexting) – техника атак, где злоумышленник представляется другим человеком и под его видом получает нужные данные. Простейший пример: коллега внезапно звонит с просьбой сообщить информацию, которую знаете только вы. Обычно звонок делают из шумного помещения, как вариант, ночью, когда жертве трудно определить подлинность голоса. Для этого вида атак важно иметь заготовленный сценарий разговора (обман подразумевает голосовое общение), знать несколько фактов о жертве и действовать максимально быстро, не оставляя времени на размышления.

Поиск информации в открытых источниках – сбор данных в социальных сетях. Там можно узнать Ф. И. О. человека и его родных, телефонные номера, клички питомцев, местонахождение и запланированные поездки.

Плечевой серфинг (shoulder surfing) – техника, при которой нужную информацию подсматривают из-за плеча. Проще всего это сделать в местах большого скопления людей: в кафе, общественном транспорте, в зале ожидания аэропорта или вокзала.

Социальная инженерия наоборот (reverse engineering) – жертва сама делится конфиденциальной информацией с мошенником. Тому достаточно представиться сотрудником техподдержки банка, сотового оператора или любой другой организации, в которой человек оставил персональные данные. Внутри компании работает другая схема: злоумышленник предлагает услугу, от которой жертва не может или не хочет отказаться, передавая ему свои данные для авторизации или другую ценную информацию. Троянский конь (или «дорожное яблоко») – использование физических носителей информации, которые подбрасывают потенциальной жертве (ею может стать любой человек). Флешка или диск «случайно» появляются там, где их легко найти, а чтобы повысить их шансы быть найденными, мошенники наносят на них логотип компании или делают интригующую надпись. Жертве очень хочется узнать, что же находится на носителе, она вставляет его в компьютер и… дальше можно не объяснять, что происходит.

Что будет делать среднестатистический мошенник, чтобы получить информацию о компании с помощью социальной инженерии? Он точно изучит активность ее сотрудников в социальных сетях, просмотрит общедоступные видеоролики и текстовые упоминания об организации. Вероятно, обратится к фишингу, а если позволят обстоятельства, просто подсмотрит данные для авторизации. Люди до сих пор записывают пароли на стикерах и приклеивают их монитор, пользуются корпоративными сервисами в открытых Wi-Fi-сетях. Заметьте, чтобы получить информацию этими способами, мошеннику даже не придется применять сложные психологические приемы или втираться в доверие к потенциальной жертве!

Фазы социальной инженерии

В любом художественном фильме о мошенниках можно увидеть, как работает социальная инженерия на практике: «Поймай меня, если сможешь», «Лучшее предложение», «Афера Томаса Крауна», «Взлом» или «Один дома». Везде прослеживается сценарий, по которому развиваются события.

Социальные инженеры, как и любые хакеры, скрывают свое истинное лицо

Типичная схема действий

Представьте себя в роли социального инженера, которому нужно получить ценную информацию. Тогда дорожная карта будет выглядеть следующим образом:

1. Сбор информации. Начальные сведения помогут ближе изучить цель и понять, с чем вы имеете дело. Подойдут активные и пассивные методы по методологии OSINT (Open source intelligence) – разведки на основе открытых источников. К открытым источникам относятся СМИ, публикации в интернете, общедоступные данные аэросъемок и радиомониторинга, публичные отчеты государственных и коммерческих организаций, профессиональные отчеты, конференции, доклады
2. Выбор жертвы – человека, слабости которого будут вам полезны. Лучшими претендентами на эту роль станут те, кого легко обмануть, ввести в заблуждение, люди с чувством обиды или выраженной эмпатией
3. Подготовка технического решения для фишинга. Самая трудоемкая и затратная часть в социальной инженерии, которая включает регистрацию домена, хостинга, их настройку и обкатку
4. Контакт. Войти в круг доверия жертвы

На финальном этапе вы используете полученную информацию для достижения заветной цели: например, узнать пароль к системе или схему расположения камер видеонаблюдения. В отличие от других мошенников вам, вероятно, не придется заметать следы. Даже если жертва осознает собственный промах, она вряд ли поделится этой информацией с руководством, ведь признаваться в собственной глупости – занятие не самое приятное.

Социальная инженерия и тестирование на проникновение[Тестирование на проникновение]

Разоблачить киберпреступников еще до того, как они нанесут удар по информационной безопасности, помогает тест на проникновение (penetration testing, pentest или пентест). Это спланированная целенаправленная атака, которая позволяет проверить, насколько поведение сотрудников делает компанию уязвимой. Пентесты проводят как в классической IT-среде, так и в других критически важных отраслях: энергетической, транспортной, ресурсодобывающей. Результаты тестирования покажут, соблюдают сотрудники компании принципы информационной безопасности или нет и насколько эффективны меры по повышению их осведомленности в этом вопросе.

Тестирование на проникновение – этичный вид хакинга, когда социальные инженеры в «белых шляпах» (White Hat) действуют с пользой для компании: находят уязвимости, вызванные человеческим фактором. Рейчел Тобак (@RachelTobac), известный «хакер в белой шляпе», упоминает рабочий прием из мира социальных инженеров: «занятые руки открывают двери». Это значит, что пока вы держите коробку с пончиками, кто-нибудь обязательно придержит дверь и позволит вам войти в нее, даже если у вас нет ключа доступа.

Вернемся к тестам на проникновение. В любой сфере они преследуют общие цели:

• Узнать, какую информацию злоумышленники могут получить в результате атаки
• Определить, насколько сотрудники компании поддаются психологическому манипулированию
• Оценить эффективность действующих политик информационной безопасности
• Разработать комплекс мероприятий для повышения осведомленности сотрудников

Любое тестирование на проникновение имитирует реальную атаку. Его задача – оценить реальный уровень информационной безопасности в компании и разработать план защиты от кибермошенников.

Пентест будет успешным, если проводить его не формально, а учитывать реальные мотивы и потребности потенциальных жертв. Самое простое, что можно сделать с человеком, – вызвать интерес сообщениями личного характера или возможностью быстро заработать, запугать (ему захочется скрыть некомпетентность или он чувствует угрозу быть ущемленным, наказанным), надавить на жалость.

Этапы теста на проникновение

Penetration testing состоит из следующих этапов:

• Разработка плана испытаний
• Выбор вектора атаки
• Попытка проникновения
• Подготовка отчета

Этот условный сценарий поможет понять, знают ли сотрудники о том, что могут стать доступной мишенью, объектом социальной инженерии. Пентест показывает, насколько они подкованы в этом вопросе, придерживаются ли принципов информационной безопасности и вообще эффективны ли эти принципы на практике. И еще одна важная задача – узнать, насколько далеко злоумышленники могут переместиться вглубь компании в физическом и в информационном плане.

Кибермошенники часто ищут жертвы в соцсетях

Пентест в социальной инженерии – что не надо делать

Тестирование на проникновение – это не повод поймать за руку доверчивого сотрудника, а возможность предотвратить потенциальные атаки и повысить осведомленность сотрудников о том, как поддерживать принципы информационной безопасности во благо компании. В идеале результатом пентеста станет разработка программы повышения осведомленности (Security Awareness Program), которая закроет проблемы в уязвимых местах.

Методы защиты от социальной инженерии[Методы защиты]

Защищаться от техник социальной инженерии сложно, так как жертвы часто не догадываются о том, что их обманули и использовали их слабости, чтобы заполучить конфиденциальную информацию. Решить проблему можно одним способом: повысить осознанность сотрудников. А для этого их придется обучить правилам работы с информацией и донести опасность ее раскрытия. Вот что для этого можно сделать.

Определить информацию, уязвимую к атаке

Сотрудники должны уметь классифицировать информацию по степени защищенности и понимать, раскрытие каких данных может причинить вред компании. Например, пользовательские учетные данные всегда принадлежат организации, их нельзя передавать третьим лицам или оставлять в открытом доступе. Значит, придется распрощаться со стикерами, где написаны логины/пароли, не авторизовываться на корпоративных ресурсах через открытые Wi-Fi-сети. Также помогает привычка блокировать ПК или ноутбук в свое отсутствие.

Повысить компетентность в вопросах информационной безопасности

Техники социальной инженерии постоянно совершенствуются, а кибермошенники находят новые способы сыграть на человеческих эмоциях. Потому сотрудникам компании необходимо знать, жертвами каких потенциальных атак они могут стать и как вести себя в подобных ситуациях. Например, куда следует написать/позвонить, если третьи лица запросили у них конфиденциальную информацию или данные для авторизации.

Ограничить права доступа к информационным системам

Доступ на копирование, скачивание, изменение информации должны иметь только те сотрудники, которым это необходимо для выполнения должностных обязанностей. В некоторых компаниях целесообразно запретить использование съемных носителей.

Подготовить инструкции по обмену информацией

В любом отделе и подразделении все – от рядового офисного сотрудника до руководителя – должны иметь четкие инструкции о том, в каких условиях они могут раскрыть важную для компании информацию. В инструкции можно указать, какие сведения можно передавать службам техподдержки, представителям контролирующих органов и т. п.

Обновить антивирусное ПО до актуальной версии

Это поможет сделать компьютеры сотрудников менее уязвимыми к массовым фишинговым атакам. Современное антивирусное ПО включает инструменты для защиты от шпионских и вредоносных программ, и предупреждает при переходе по подозрительным ссылкам. Впрочем, доступа к социальным сетям на рабочем месте лучше не давать – это первое, чем обязательно воспользуются социальные инженеры.