Введение. Что такое социальная инженерия?

Под термином «социальная инженерия» понимают науку о манипуляции человеком, его отношении и реакциях на конкретную ситуацию с основной целью – добиться выдачи конфиденциальной информации или осуществления определенных действий в пользу злоумышленника.

Социальная инженерия широка и разнообразна, границы определяются только фантазией злоумышленника, поэтому примеры социальной инженерии могут быть самыми разными, например:

• Добиться, чтобы пользователь открыл приложение электронной почты, оформив письмо электронной почты как соблазнительную рекламу из любимого магазина пользователя;

• Добиться, чтобы пользователь ввел конфиденциальные данные в определенной форме в сети;

• Разыграть ситуацию, в которой пользователь по телефону выдал бы свои имя пользователя и пароль.

Почему социальная инженерия?

Почему используется социальная инженерия? Потому, что нередко сами работники предприятия - люди являются самым слабым звеном в осуществлении политики безопасности.

У данного факта много объяснений, во-первых – нередко часть работников просто недостаточно обучена, и им не хватает знаний, чтобы избежать такого нападения, а также большую роль играет и то, что большая часть предприятий думает только о защите по периметру от внешних угроз. При помощи работника, обойдя эту внешнюю защиту, злоумышленник побеждает самое большое препятствие.

Почему социальная инженерия является существенной темой в контексте всего предприятия, а не, скажем, только финансового департамента? Потому, что типично для защиты от внешних угроз физические и ИТ технологии защиты создают для злоумышленника довольно сложно преодолеваемый барьер и в данном контексте неважно, какого именно работника удалось злоумышленнику обмануть, так как результат – доступ ко всем внутренним ресурсам, минуя барьер защиты, будет одинаковым во всех случаях. Атаки социальной инженерии нередко ориентированы на работников, у которых есть самые большие права доступа к работе с конфиденциальной информацией, однако злоумышленник нередко оценивает и потенциальные знания цели, а также атаки могут быть сознательно направлены на случайных работников, поэтому потенциальная цель – это любой работник предприятия.

Одним из главных причин того, что социальная инженерия распространена как метод атаки – это очень дешевый вид нападения и атакующему даже не надо специализироваться в информационных технологиях. В конце этой статьи мы рассмотрим один из инструментов атаки, который позволяет без особых усилий и предварительных знаний технологически осуществлять атаки высокой сложности и единственное, что остается сделать нападающему – придумать вид, как именно жертва будет обманута, чтобы осуществить необходимое содействие. К тому же, социальная инженерия – это довольно дешевый вид атаки, так как такое нападение можно очень легко повторить и модифицировать, приспособить для конкретной цели, к тому же, будет доступно множество попыток атаки. Существенным фактором является также и то, что при использовании методов социальной инженерии результат нередко достигается гораздо быстрее, чем если бы был использован иной метод для нападения, для сравнения – зачем пытаться взломать закрытую дверь, если ночной сторож сам готов нас впустить…

Почему социальная инженерия нередко бывает такой успешной и мошенникам так легко удается обмануть людей? Мошенники просто используют наше естественное желание помогать и сотрудничать с другими людьми. Также следует принять во внимание, что мошенники могут подготовить детализированный план нападения, различные возможные сценарии, изучив предприятие и его внутреннюю политику, культуру, в то время как жертва может быть полностью неподготовленной.

Как защитить себя и свое предприятие?

В контексте предприятия информированность работников является приоритетной борьбой с этой угрозой, работникам необходимо регулярно напоминать, как им следует обращаться с конфиденциальными данными предприятия, что именно является конфиденциальной информацией предприятия и каковы требования и процедуры предприятия по безопасности.

Личную безопасность можно обеспечить при соблюдении осторожности и всегда проверять личность собеседника разговора. Одежда, похожая на полицейскую форму всего лишь одежда, и это не гарантирует, что перед нами представитель закона. Также следует избегать спонтанных действий, вместо этого стоит подумать о последствиях своих действий. Далее мы приводим некоторые советы из сообщения безопасности Sophos 2011 года (ссылка: http://www.sophos.com/en-us/security-news-trends/security-trends/securit...):

• Не доверяйте всему, что читаете, даже если сообщение электронной почты или страница сайта выглядят убедительно, это точно также может быть и мошенничеством;

• Если что-то звучит слишком хорошо, чтобы быть правдой, так оно обычно и бывает;

• Спросите себя, почему собеседник обращается именно к вам, если не можете найти хорошую причину, скорее всего, это обман;

• Будьте терпеливы, многие становятся жертвами мошенников, действуя спонтанно, и чаще всего мошенник попытается добиться таких действий, поэтому всегда необходимо быть внимательным, если собеседник торопит вас принять решение;

• Пока вы точно не уверены в личности собеседника и его полномочиях, и необходимости требовать такую информацию – не предоставляйте информацию о себе и работодателе;

• Избегайте по возможности отсылки личной и финансовой информации по электронной почте, электронная почта не является надежной средой коммуникации и финансовые организации это знают, поэтому будьте очень осторожны, если какая-либо финансовая организация спрашивает вас о такой информации по электронной почте, скорее всего, это мошенничество;

• Также будьте внимательны со ссылками, которые вы получаете по электронной почте, если на такой странице вам необходимо ввести какую-либо информацию, намного надежнее открыть интернет браузер заново и ввести адрес этого сайта вручную, будьте предельно внимательны, если по этой ссылке необходимо ввести личную и финансовую информацию;

• Если возникают хоть малейшие сомнения о легитимности собеседника или сообщения электронной почты, попробуйте его проверить, обратившись в соответствующую компанию, ни в коем случае не используйте контактную информацию, предоставленную собеседником или в сообщении электронной почты;

• Проверяйте адрес сайта (URL), который вы посещаете - многие мошеннические сайты выглядят идентично оригиналу и адрес сайта – единственная видимая разница, внимательно следите, чтобы не сделать опечатку, когда вводите адрес сайта;

• Будьте внимательны при отсылке любой конфиденциальной информации в интернете, до того, как отсылать такую информацию, убедитесь в ее надежности;

• Будьте настороже, если получаете неожиданные сообщения электронной почты, звонки, если у вас возникли хоть малейшие сомнения, так как даже если запрашиваемая информация очень общая или даже о другой организации, она, вероятно, позднее будет использована уже в более сложной кибер-атаке.

Это был обзор темы социальной инженерии, в дальнейшем мы напишем об этом еще, а также напоминаем, что наилучшая борьба с приемами социальной инженерии - это регулярное обучение и образование работников, не забывая при этом про своевременную установку патчей. При выполнении этих основных условий можно надеяться, что вы усложнили задачу социального инженера и он обратится к другому предприятию или учреждению по соседству, которые еще не успели обучить своих работников.

Более подробная информация на тему социальной инженерии здесь