В статье Информационная безопасность: дорожная карта и модель компетенций мы привели тезис - одно из самых уязвимых мест в информационной безопасности это люди. Например, вы можете выстроить любую абсолютно непробиваемую защиту. Но что толку, если сотруднику позвонят от имени генерального директора с подделанного номера и имитированным голосом, и сотрудник сделает все что ему скажут.
Именно поэтому почти в 50% случаев атака на компанию идет через использование социальной инженерии. Но что такое социальная инженерия? Как она работает и как от нее защититься? Давайте разберемся.
Содержание
Что такое социальная инженерия?
Социальная инженерия – это сбор данных о человеке/организации с последующим психологическим манипулированием человеком. Все ради того, чтобы он совершил те или иные действия. Например, сказал 3 цифры с оборота карты, взял кредит и перевел мошенникам, запустил программу на рабочем компьютере или просто перевел деньги со счета организации на счет мошенников.
Техники
Так какие же техники социальной инженерии существуют?
Претекстинг
С этим методом знакомы практически все - ведение по заранее разработанному сценарию при личном взаимодействии. Например, вам звонят из "службы безопасности банка" и ведут вас по заранее подготовленному сценарию. В итоге вы должны или сделать нужное действие, или раскрыть нужную информацию.
Для таких атак характерна подготовка, когда узнают имя человека, занимаемую должность, рабочие проекты и т.д. Все это необходимо для формирования доверия.
Фишинг
Как правило, фишинг работает через электронную почту. Вам приходит письмо, например, снова из банка. Внутри письма содержится ссылка, по которой надо пройти и оплатить штраф или подтвердить свои данные. Само письмо выглядит весьма правдоподобным благодаря логотипам и своему тону. Далее вы вводите конфиденциальные данные (логины, пароли и т.д.), и они утекают к злоумышленникам.
Троянский конь
Тут работают на любопытстве или желании халявы. В том же электронном письме может содержаться вложение, например, с бесплатной версией популярной программы. Далее человек устанавливает программное обеспечение, в котором зашит вирус. А затем мы получаем либо шифрование файлов, либо баннеры с порнографией на весь кран, либо тихий сбор данных с компьютера и т.п.
Дорожное яблоко
Это вариант троянского коня, только тут работа идет не через электронную почту, а через физический носитель. Человек может идти с парковки к офису и найти брендированную флешку, а дальше все как в схеме с троянским конем: заражение и полный набор развлечений.
Кви про кво
Хакер звонит по случайному номеру в компанию, представляется сотрудником техподдержки и задает вопрос, есть ли какие-либо технические проблемы у жертвы. Если есть (а скорее всего, они есть), начинается, условно говоря, претекстинг: сотрудник делает нужные действия, а злоумышленник устанавливает вредоносное ПО.
Обратная социальная инженерия
Здесь идет работа от обратного – жертву заставляют самой позвонить злоумышленнику и попросить о помощи.
Например:
сначала жертве на почту приходит письмо из разряда «если возникли неполадки с компьютером, позвоните по такому-то номеру»;
далее создается проблема, когда пропадает интернет;
затем жертва сама обращается к злоумышленникам.
Кто и как попадается на социальную инженерию
Вы можете сказать: «Ну что за детский сад? Зачем нам это?». Но мы рекомендуем посмотреть на статистику ниже. Она вещь упрямая.
Наиболее рабочая схема сейчас – фишинг. И с переходом по ссылке, вводом своих учетных данных на поддельном сайте и запуском подозрительного файла все понятно. Но кто вступает в дальнейшую переписку и коммуникацию с хакерами?
Так, по исследованиям Positive Technologies в 88% случаев в переписку вступают обычные сотрудники компании: бухгалтеры, юристы, менеджеры и т. п. При этом 25% из них – руководители отделов. А это уже средний менеджмент. Подробная статистика приведена на графике.
При этом люди, после перехода на фишинговые сайты, начинают вводить разные вариации своих паролей, в том числе от личных аккаунтов, перепроверяя, а не ошиблись ли они. Ведь сайт выдает ошибку, что логин и пароль не подходит. В отдельных случаях это повторялось 30–40 раз!
И огромный прирост эффективности дает создание реального адреса электронной почты, например, фирмы-однодневки.
Также приведем список тем писем, которые вселяют людям наибольшее доверие.
Можно ли сказать, что это люди невнимательны? И да, и нет. Давайте разберем практический пример. Один из наших партнеров пользовался услугами доставки одной большой компании. Но в один момент, когда он ожидал посылку, получил письмо: «Иван Иванович, Ваша посылка пришла! Перейдите по ссылке и выберите удобное время для доставки». То есть злоумышленники получили базу данных с персональными данными и делали адресные рассылки. Смогли бы вы не попасться на такую уловку?
Наше мнение - столь печальная статистика по поведению пользователей связана и с падением внимательности, и с ростом изобретательности злоумышленников. Через социальную инженерию обходится в том числе многофакторная аутентификация (когда мы вводим логин, пароль, а потом еще приходит код в СМС или приложении).
Меры противодействия и рекомендации
1. Обучение
Самый основной способ защиты от социальной инженерии — это обучение. Кто предупреждён – тот вооружён. Также необходимо, чтобы у сотрудников были четкие инструкции и памятки о том, как, на какие темы говорить с собеседником можно, а на какие нет, какую информацию для точной аутентификации собеседника им необходимо у него получить.
Немного подробнее разберем, чему нужно обучать:
Работа с паролями
Необходимо объяснить, что нельзя иметь одинаковые пароли на личных ПК и рабочих. Помимо рисков социальной инженерии, сейчас идут регулярные утечки из баз данных.
Правила поведения с посетителями
Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. Ведь такой гость может спокойно подбросить флешку с вредоносом.
Правила представления и аутентификации «своих»
В компании должны быть четкие правила того, как вы определяете «свой-чужой», а также что можно сообщать «чужому», а что нет.
Игнорируем и не общаемся с подозрительными собеседниками
Ваш голос могут записать для последующего использования и подмены. Если необходимо – повесьте трубку и перезвоните по официальному номеру технической поддержки. Это важно еще и потому, что злоумышленники умеют подделывать номера.
Работа с почтой
При работе с почтой проверяем отправителей писем и ссылки внутри документов (какая именно там гиперссылка). Не открываем подозрительные вложения и ссылки и не ведемся на «хайповые» темы писем (события, увольнения, премии, письмо не доставлено).
Тут надо понимать, что опасность представляют любые вложения:
ZIP- и RAR-архивы – злоумышленники очень любят прятать вредоносные файлы в архивы, и, распаковав архив, вы можете тут же заразить ПК.
Документы Microsoft Office – документы Word (.doc, .docx), электронные таблицы Excel (.xls, xlsx, .xlsm), а также презентации могут содержать вредоносные макросы. Майкрософт в последних версиях Office даже убрала эти макросы из-за информационной безопасности.
Файлы PDF – формат позволяет создавать и выполнять скрипты JavaScript. А также в документах часто содержатся фишинговые ссылки.
Образы дисков ISO и IMG – в виртуальных копиях CD, DVD или других дисков также могут быть зашиты вредоносные программы
Игнорируйте «срочность»
Злоумышленники любят давить на неотложность ситуации и создавать стрессовые ситуации.
Используйте двухфакторную аутентификацию
Обновляйте ПО на личном оборудовании
Соблюдаем цифровую гигиену
Если вы – первое лицо организации или одно из первых, то вас будут мониторить. Да, всегда хочется поделиться победами, и для продвижения компании это необходимо. Но нужен баланс, и лучше избегать публикации внутренней информации и личных событий.
2. Учения
Нужно периодически проводить учения и анализировать результаты, разбираться в причинах, корректировать обучающие программы и материалы