Как социальная инженерия похожа на открытую дверь в вашу компанию

Мы слышали это снова и снова: ваша организация настолько сильна, насколько сильно ее самое слабое звено. Трудность, с которой мы сталкиваемся, заключается в том, что самое слабое звено (сотрудники) всегда присутствует. Человеческая ошибка была и остается причиной многих проблем с безопасностью. Этот способствующий фактор выходит из-под контроля, поскольку достижения в области технологий поощряют легкость, с которой киберпреступники могут использовать социальную инженерию, чтобы воспользоваться этим слабым звеном и тем самым облегчить свои киберпреступления. При этом социальная инженерия олицетворяет легкий путь.
Мы все были жертвами социальной инженерии и также использовали ее тактику, чтобы получить то, что мы хотим. Социальная инженерия никоим образом не нова и использовалась как инструмент манипуляции с незапамятных времен. Маленькие дети быстро учатся обходиться с этой тактикой, очаровывая родителей теми несколькими дополнительными минутами перед сном или получая еще один шарик мороженого; это достигается без какой-либо осведомленности о социальной инженерии. Это кажется второй натурой, хотя и не всегда используется во вред. Тем не менее печально известные атрибуты использования социальной инженерии становятся все более и более распространенными в киберпреступности.
На протяжении всей истории существует множество примеров социальной инженерии, которые часто доказывали свое превосходство над физической безопасностью и технологиями безопасности.
Социальная инженерия на протяжении десятилетий
Яркий пример — не связанный с киберпреступностью — уходит своими корнями в Древнюю Грецию. Мифический или нет, но этот пример представляет атаку социальной инженерии настолько уместно, что позволяет присвоить имя всему типу вредоносного ПО. Да… вы угадали! Мы оказываемся в Древней Греции посреди битвы под Троей! После бесплодного 10-летнего конфликта греческая армия, кажется, сдалась и, признав свое поражение, отступила, но не раньше, чем оставила троянцам прощальный подарок (за пределами своих ворот) — гигантскую деревянную статую бравый конь. Троянцы в восторге, так как они победили, а враг признал свое поражение; они маневрируют подарком внутри, неосознанно затаскивая врага внутрь своих стен, и начинаются празднования. В темноте ночи, когда троянец спрятался и погрузился в глубокий сон, греческие солдаты выходят из своего укрытия, деревянного коня, открывают городские ворота и воссоединяются с остальной греческой армией.
Кульминацией этого стало разрушение Трои греками. Человеческая ошибка со стороны троянцев способствовала разрушению Трои, бессознательно позволив врагу войти в свой город. Даже мер безопасности троянцев, которые обеспечивали безопасность их самих и их города и удерживали греков в страхе в течение десятилетия, было недостаточно, чтобы остановить самое слабое звено и разумное использование социальной инженерии, когда это было наиболее важно. Другими словами, технологии безопасности, хотя и необходимой, недостаточно, и хитрый социальный инженер может подавить самую сильную технологию безопасности. Все, что нужно, это чтобы один сотрудник ослабил бдительность.
Возвращаясь к миру технологий, довольно легко найти многочисленные примеры того, как социальная инженерия использовалась для успешного проникновения в различные организации и их системы. В 2014 году GoDaddy и PayPal организовали атаку, которая стоила Наоки Хиросиме его имени пользователя в Твиттере за 50 000 долларов ( Хиросима объясняет взлом ). Также стало известно, что социальная инженерия сыграла роль в крупном взломе Sony в 2014 году, нанеся большой финансовый ущерб и, что еще хуже, ущерб репутации Sony, а социальная инженерия была связана с недавним взломом Министерства юстиции США, в результате которого были скомпрометированы тысячи людей. личные данные, включая данные сотрудников ФБР. В этих атаках участвуют крупные объекты, что свидетельствует о том, что никто не в безопасности.
Мы помогаем киберпреступникам по прихоти
Не существует правильного или неправильного способа использовать множество различных тактик социальной инженерии, если вы достаточно находчивы и креативны, чтобы использовать различные условия и сценарии, открытые для вас. Все зависит от того, что работает и с кем. Успех зависит от метода, времени, уравновешенности и правдоподобия подхода, а также от настроения жертвы в данный момент времени.
Сама природа человеческого поведения также является нашей слабостью: мы доверчивы и легко поддаемся ложному чувству безопасности. Мы хотим действовать в срочном порядке и чувствуем необходимость отреагировать прямо сейчас! Эти черты легко эксплуатируются с помощью элементарных психологических приемов. Имея это в виду, киберпреступники без труда используют искусство социальной инженерии против нас. Они собирают информацию посредством разговоров, как электронных, так и физических, и многие из нас ничего не подозревают и свободно разглашают информацию, не задумываясь. Когда мы осознаем, что произошло, уже слишком поздно.
Кроме того, способ, которым большинство из нас повторно использует свои учетные данные, означает, что одна ошибка в имени пользователя и пароле обычно позволяет преступнику получить доступ к нескольким службам.
Принимая все это во внимание, социальная инженерия является недорогостоящей, высокоэффективной и простой для понимания и применения для достижения успешных результатов. Для этого не требуется опытный программист или технически подкованный человек, только кто-то, кто готов говорить с людьми и отправлять электронные письма, и есть тысячи людей, желающих принять участие. Это выгодное преступление. (Почему бы киберпреступникам не заняться этим?!).
Если этого было недостаточно, эволюция Интернета еще больше помогает киберпреступникам совершенствовать свои уловки. Не поймите меня неправильно, технологии сделали некоторые формы атак более сложными для совершения, но они также создали множество возможностей для этих гибких «киберпреступников-социальных инженеров».
Мы повсюду в социальных сетях (как в социальном, так и в профессиональном плане), постоянно обновляем наши профили и статусы, наше местонахождение (где мы находимся, где мы были и куда мы собираемся), наши лайки, нашу личную информацию… список продолжается и продолжается. Это развитие Интернета и то, как мы все его используем, помогает киберпреступникам. Фундаментальным аспектом социальной инженерии является получение информации о цели, и как общество мы гарантируем, что вся наша информация легкодоступна (удобно, обычно вся в одном месте), и киберпреступники точно знают, где искать, как получить доступ к это, и как использовать это, чтобы составить очень убедительную историю, чтобы получить то, что они хотят от нас.
Кроме того, у всех нас есть не одно, а два или даже три мобильных устройства, на которые мы охотно загружаем приложения, не задумываясь. По мере того, как организации становятся более мобильными в том, как они работают, и многие организации теперь позволяют сотрудникам использовать свои личные мобильные устройства также для рабочих функций (схема BYOD — «принеси свое собственное устройство» — теперь является обычным явлением), это также предлагает дополнительные входная траектория для преступлений типа социальной инженерии.
Воздействие атак социальной инженерии на организации велико. Это может повлиять на конфиденциальность, репутацию и финансы и иметь ярко выраженные юридические последствия.
В голове киберпреступника
Чтобы получить наилучшие шансы не стать жертвой такого киберпреступления, нам нужно проникнуть в голову преступника — узнать, как киберпреступник думает и разыгрывает свое преступление. За таким преступлением стоит некий мыслительный процесс, и, вероятно, каждый раз следуют одной и той же схеме и шагам.
Шаг первый: определите цель
В зависимости от типа киберпреступления, связанного с социальной инженерией, выбор цели может быть случайным, но также может быть и очень конкретным. Оппортунистическим преступлением может быть атака, при которой целью не является конкретное лицо, а целью становятся тысячи людей в надежде, что некоторые из них станут жертвами (обычно по электронной почте, текстовым сообщениям, сообщениям или телефонным разговорам - своего рода фишинговая афера). Целевая атака (целевой фишинг или китобойное мошенничество) потребует нацеливания на конкретную организацию по определенной причине. Точкой входа является сотрудник или человек, связанный с целевой организацией, которого легко заманить. Недовольный сотрудник (а таких немало) часто более чем готов помочь. Другими целями могут быть администраторы, клиенты и сотрудники технической поддержки, и это лишь некоторые из них.
Шаг второй: познакомьтесь с ними
Киберпреступник хочет знать свою цель наизнанку. Они хотят собрать как можно больше подробной информации, чтобы с уверенностью завоевать доверие целевого человека и усердно убедить его, не оставляя места для сомнений или вопросов. Собранные данные должны быть надежными и создавать убедительную историю. Киберпреступник хочет развить отношения, чтобы позже использовать их.
Шаг третий: определите правильное время для атаки
Важность правильного выбора времени и обеспечения того, чтобы цель находилась в правильном настроении в момент атаки, имеет первостепенное значение. Возвращаясь к Трое, греки знали, что время было выбрано правильно и что настроение троянцев было в нужном месте во время нападения - троянцы праздновали свою победу (все это часть убедительной истории греков), и у них не было подозревая, что у них под носом происходит что-то зловещее. Греки были уверены в себе, изобретательны и умны; все выстроилось красиво и поэтому атака удалась!
Успех преступления социальной инженерии должен учитывать все эти аспекты. Преступник идентифицировал цель, тщательно исследовал цель и свои отношения с организацией (сотрудник и большая часть времени - это путь к организации, которая является более крупной целью). Они составят убедительную историю. Злоумышленник уверен и уравновешен, определил наиболее подходящий метод атаки, а также лучшее время для действий.
Шаг четвертый: атака
Когда все на месте, атака происходит. Они могут принимать форму атаки лицом к лицу, атаки с использованием телефона, атаки с использованием компьютера или атаки с использованием вредоносных приложений.
- через компьютер:
Обычно это вирусы, трояны (опять же!), шпионское ПО, пугающие программы и программы-вымогатели. Наиболее распространенными атаками на организации обычно являются фишинговые и целевые фишинговые атаки.
С помощью пугающих программ такие атаки используют социальную инженерию, чтобы обмануть пользователей, заставив их думать, что их машина заражена, и направить пользователя щелкнуть ссылку. Суть этой атаки заключается в использовании страха, чтобы заставить человека действовать безотлагательно.
Программы-вымогатели — это социальная инженерия в лучшем виде! Он удерживает ваши файлы для выкупа и заставляет вас поверить, что единственный способ вернуть ваши данные — это заплатить (обычно в биткойнах, которые невозможно отследить). Мы играем прямо на руку злоумышленнику, и, поскольку мы продолжаем платить, эта форма атаки продолжает усиливаться. Так что… не платите выкуп! Обратитесь за профессиональной помощью и всегда сохраняйте резервную копию всего.
- Через вредоносные приложения:
Вредоносные приложения создаются с учетом цели, обращаясь к цели, в частности, чтобы попытаться убедить человека загрузить вредоносное приложение. Как только приложение загружено, преступник получает доступ к данным на устройстве и может организовать более наглую атаку, которая может привести к взлому.
- Физический подход:
Этот подход основан на физическом взаимодействии между злоумышленником и пользователем. Такие атаки могут заключаться в том, что нападавший выдает себя за кого-то, кем он не является, и получает физический доступ к интересующему зданию. Такого подхода можно добиться, например, за счет скрытого наблюдения и подслушивания.
Я знаю специалистов по безопасности, которые обходят все меры безопасности внутри организации с помощью социальной инженерии. Они получили доступ в офисы в глубине здания, используемые старшими сотрудниками, и получили важные данные. Сотрудники были более чем счастливы помочь, не задумываясь. Хотя это было предпринято как урок безопасности, а не с каким-либо злым умыслом, это доказательство того, что это легко сделать. Он ясно показывает самое слабое звено, еще раз, и показывает, что независимо от технических и физических мер безопасности, которые существуют (а эта организация имела их все и даже больше и считала их неприкасаемыми), они легко обходят злоумышленника, если их принять. бесполезно из-за действий самого слабого звена в цепи безопасности.
- через телефонный звонок:
Это случалось со мной несколько раз, когда мне звонили так называемые представители Microsoft по поводу проблемы, которую они заметили в безопасности моих компьютеров с Windows. «Представитель? казался очень профессиональным и собранным, и очень хотел помочь! Играя роль, я сказал ей, что это было странно, поскольку я использовал машину Apple, а не машину Windows, на что она очень быстро повесила трубку. В этом случае меня не обманули, но так много других ничего не подозревающих людей обманули, и поэтому преступники продолжают проводить такие атаки.
Используя информацию, опубликованную в социальных сетях и на веб-сайтах, киберпреступник может легко позвонить сотруднику, выдающему себя за старшего сотрудника, и начать разговор, кульминацией которого может стать сброс сотрудником регистрационных данных или паролей или отправка информации или документы на поддельный адрес электронной почты, указанный по телефону. Это случается слишком часто!
Что ты можешь сделать?
Вовлекайте своих пользователей! Крайне важно, чтобы пользователи были образованы и поддерживали осведомленность. Это должно включать всех, кто связан с организацией. Обучение требуется, но его следует проводить чаще и охватывать небольшие разделы за один раз, а не ежегодно, так как пользователей бомбардируют объемы информации, которую сложно усвоить, не говоря уже о том, чтобы запомнить и реализовать.
Сотрудники должны знать, как идентифицировать конфиденциальную информацию, связанные с ней угрозы и методы обеспечения безопасности, которым необходимо следовать. Процедуры восстановления также должны быть определены, поддерживаться и известны, поскольку вероятность атаки высока, и обеспечение наличия соответствующих процедур может смягчить последствия атаки.
Кроме того, переживание ситуации нападения всегда является хорошей практикой. Это можно сделать с помощью регулярных симуляционных атак, чтобы пользователи не успокаивались и оставались на вершине своей игры. Кроме того, он позволяет измерять знания и является хорошим способом оценки прогресса в организации.
Расширяйте возможности, обучайте и отслеживайте прогресс всех сотрудников.
Будь скептиком
Киберпреступники запрыгнули на подножку, и причастность психологического компонента кибератаки становится все более очевидной. Использование социальной инженерии для борьбы с киберпреступностью — это буквально детская игра — это самый простой путь! Множественность стилей атаки постоянно развивается; программы-вымогатели, пугающие программы, фишинг, целевой фишинг, китобойный промысел, кликбейт-атаки, атаки на водоемы, атаки на социальные сети — и я могу продолжать! С учетом сказанного, самое подходящее время быть скептиком!
Мы должны попытаться создать культуру, в которой сотрудники будут в курсе событий, связанных с киберпреступностью. Важно уделить первоочередное внимание обучению сотрудников тому, как не быть самым слабым звеном в цепочке безопасности.
Люди остаются самым слабым звеном в цепочке безопасности, и пока это так (всегда!), киберпреступники будут этим пользоваться. По сравнению с битвой за Трою организации тратят время, деньги и усилия на технологии безопасности для защиты, но мало внимания уделяется обучению и обучению своих пользователей, чтобы определить, когда кто-то собирается проникнуть внутрь.
Будьте осторожны, будьте скептичны и руководствуйтесь здравым смыслом!