Социальная инженерия и методы борьбы с ней
Что взломать легче: ваше ПО или вашего сотрудника
Сибирикс
Что взломать легче: ваше ПО или вашего сотрудника
Социальная инженерия и методы борьбы с ней
Вспомним старый добрый фильм Спилберга «Поймай меня, если сможешь» с Леонардо ди Каприо в главной роли. Герой киноленты еще до совершеннолетия и пилотом побывал, и адвокатом, и врачом. Сопляк обладал исключительным навыком обмана и подделки документов: он не только по феншую становился в ряды сотрудников любой компании, но и получал от нее миллионы долларов. Сказочные истории Голливуда? Не-а. Фильм основан на реальных событиях, а товарищ-мошенник был по-настоящему легендарным социальным инженером.
98% кибератак приходятся на социальную инженерию. В 2019 году эти атаки стоили российским компаниям 1.26 млрд руб.

МВД сообщает, что из-за вспышки коронавируса COVID-19 и массовым переходом на удаленную работу количество ИТ-преступлений на апрель 2020 года выросло на 83.9%.
Что такое социальная инженерия
Это контент, который обманом заставляет пользователя выполнить какое-то действие, например, кликнуть на кнопку, перейти на сайт или скачать программу, чтобы пользователь этим действием выдал информацию, которая может привести к финансовым и/или репутационным потерям. Что важно и интересно — метод основан на психологии людей.

Простой пример социальной инженерии — это попап с сообщением о том, что вам нужно обновить браузер.
Вы уже знаете, как важно обновлять софты и сервисы, чтобы все работало корректно, и жмете кнопку согласия — это простое действие для простого апдейта. Увы, с этого момента что-то пойдет не так.

Вы верно поняли суть — хакеры «взламывают» пользователя, апеллируя к его слабостям и страхам. Простая истина гласит, что главная уязвимость в системе — это не машина, а человек :)
Основные приемы социальной инженерии
Претекстинг (триггер — доверие)
Хакер представляется сотрудником или подрядчиком компании. По подготовленному сценарию (претексту) он извлекает нужные ему данные. Как правило, мошенник уже добыл реальную информацию о компании или сотрудниках и использует ее в своих сообщениях, чтобы не вызвать подозрений. Чаще всего ложные сообщения прилетают в Skype, через телефон, электронную почту и пр.

Фишинг (триггер — страх)
Часто это выглядит как электронное письмо, которое выглядит как официальное сообщение, например, от банка. В письме — форма для ввода персональных данных (логин, пароль, девичья фамилия матери и пр.) или ссылка на сайт с такой формой. Ввел и все — попалась золотая рыбка.

Троянский конь (триггер — любопытство)
Это простое электронное письмо с файлом во вложении: обновление софта, фотка-компромат коллеги, документ от начальника и пр. Но по факту — вирус, который после запуска на компьютере, собирает и передает и/или изменяет информацию на компьютере-носителе.

Кви про кво (триггер — страх)
Обычно это происходит так: в компанию звонит «технический специалист» и говорит, что в компании какие-то проблемы и их нужно срочно устранить. А как что зачем — все расскажет, только нужно четко следовать его инструкциям. В этих инструкциях и скрыты нежелательные команды или установка программного обеспечения.

Дорожное яблоко (триггер — любопытство и о, халява)
Обращали внимание на бесхозные халявные флэшки? Халява может дорого стоить. Такие физические носители мошенники специально оставляют в общедоступных местах (прямо на рабочем месте сотрудника или в туалете — забыл что ли кто?). Для пущей убедительности негодяи даже наносят на носители логотип компании!

Обратная социальная инженерия (триггер — лень)
Хакер создает ситуацию, в которой человек сам обращается к нему. Например, сотруднику приходит письмо с контактами обслуживающей организации, и затем вдруг выходит из строя компьютер или интернет. Этот сотрудник сам звонит мошенникам по указанному в письму телефону, обратившись за помощью. Пока те «помогают», они получают необходимые им данные.
Как не попасться
  • Слушаться Google

Сервис Google Безопасный просмотр предупредит вас о попытке перейти на нехороший сайт.
Сообщение от Google
Однако Google — все же машина, которая может посчитать сайт вредоносным по ошибке, но вы еще раз подумайте, стоит ли оно того. Также вы можете проверить, есть ли на вашем сайте контент, попадающий под определение социальной инженерии, в отчете «Проблемы безопасности».

  • Обучать своих сотрудников

Ваши бойцы должны знать, как они, сами того не хотя, могут раскрыть персональную и конфиденциальную информацию компании, и как предотвратить утечку данных. Как правило, это свод правил, определяющих как и в каком виде передается информация внутри компании от одного сотрудника другому. Например, все файлы должны лежать на локальном сервере, откуда при необходимости сотрудник может взять нужный.

  • Пройти тест на проникновени

Приемы социальной инженерии используют и во благо. Существуют компании, которые предоставляют услуги по оценке информационной безопасности предприятия. Сотрудники такой компании используют все те же психологические техники получения корпоративной информации, но с целью найти слабые места (будь то программы или люди) и закрыть их.
Основные принципы работы с информацией в компании
  1. Пользовательские учетные данные — это собственность компании.

  2. Регулярное информирование сотрудников компании о возможных типах кибератак.

  3. Нужен регламент об информационной безопасности. Причем, чтобы сотрудники его знали. Можно периодически проводите тестирования, а можно организовать дятел-борд.

  4. Антивирусники. Возможно, даже брандмауэр. Или покупайте сотрудникам Mac, там с этим сильно лучше.

  5. Системы обнаружения и предотвращения кибератак. Это специальные программы, подходящие к вопросу инфобезопасности комплексно: мониторят и обнаруживают подозрительное поведение пользователей, связанного с авторизациями в корпоративных ресурса, запрещают устанавливать и запускать сторонние ПО, виртуально хранят данные вне ПК и многое другое. Главное — объяснить сотрудникам, что это не программы которые пишут их рабочий стол.

  6. Ограничение прав пользователя для сотрудников компании. Например, сделать на рабочих компьютерах ограничение доступа к сайтам или запрет использование съемных носителей.
На одной из моих предыдущих работ регламент об информационной безопасности знали все. Даже техничка. И это не шутка. Примерно раз в полгода мы сдавали тест на его безупречное знание: что делать с информацией (любой), где ее можно размещать и где категорически нельзя, как делиться с коллегами и с какими сервисами можно работать.

Чтение регламента с пониманием смысла занимало час. Вдобавок технический и финансовый директоры проводили беседы, а регламент ширился и обновлялся по мере обнаружения новых угроз. Кроме регламента и камер наблюдения были 4−5 «следилок» на компьютерах: они отслеживали, анализировали и записывали все активности сотрудника. В любой момент техдир мог залезть на мой комп и посмотреть live реалити-шоу с моим участием.

Да чем же таким занималась компания, где я работала?! :) Ответ донельзя очевиден — финансами. Угроз в таких компаниях куча и постоянные кибератаки были рутиной. Как пережить «угон» доступов к собственным данным или к данным клиентов — просто словом «дорого» нельзя описать. Прошло несколько лет, как я уволилась, а у меня до сих пор действует NDA с этой компанией :)


Дарья
PR-менеджер «Сибирикс»
Итог и плюшки

Невозможно защититься от всего. Прогресс — двухсторонний процесс. Как только разрабатываются новые системы защиты, хакеры изобретают под них новые методы нападения. Некоторые из хакеров, став всемирно известными, помогают правоохранительным органам искать своих уже бывших коллег-мошенников, а Голливуду — снимать кино. И несут в массы идеологию информационной безопасности :)

Рекомендуем к прочтению:

  1. «Искусство обмана» Кевин Митник,
  2. «Психология влияния» Роберт Чалдини,
  3. «Социальная инженерия и социальные хакеры» Кузнецов Максим,
  4. Блог самых крутых хакеров мира «Phrack Magazine» (для тех, кто знает английский).