Почему социальная инженерия работает — и что вы можете сделать, чтобы дать отпор
Состояние ИТ-индустрии сегодня едва ли напоминает то, что было в начале 1990-х, когда я только начинал свою карьеру в ИТ. Тем не менее, есть несколько вещей, которые не изменились. Возьмем, к примеру, социальную инженерию. Социальная инженерия была серьезной угрозой безопасности тогда и продолжает оставаться угрозой даже сегодня. Конечно, некоторые методы со временем изменились, но основная концепция манипулирования пользователями с целью получения доступа к информации остается прежней.
Те, у кого плохие намерения, продолжают полагаться на социальную инженерию по одной простой причине — она работает. Таким образом, кажется разумным задаться вопросом, что именно делает социальную инженерию такой эффективной, и что вы можете сделать, чтобы ваши пользователи не попались на уловки социальной инженерии.
Почему это работает?
На протяжении многих лет я слышал, как люди говорят, что причина, по которой социальная инженерия так эффективна, заключается в том, что конечные пользователи глупы, доверчивы или просто не заботятся о своей работе. Конечно, были задокументированы случаи глупости конечного пользователя, которая привела к успеху атаки с использованием социальной инженерии. Около 10 лет назад, например, я прочитал историю о фирме, занимающейся ИТ-безопасностью, сотрудники которой стояли на углу оживленной улицы, обещая раздать прохожим бесплатную подарочную карту Starbucks в обмен на их пароль. Было не только много берущих, но и один руководитель, который не знал своего пароля, пошел в свой офис и поручил своему секретарю записать его пароль и передать его людям, которые предлагали бесплатные карты Starbucks.
Хотя такие истории могут привести к бессонным ночам ИТ-специалистов, которым поручено обеспечивать безопасность своей организации, лично я считаю, что они являются скорее исключением, чем правилом. Несмотря на то, что есть глупые пользователи, опыт научил меня, что большинство пользователей на самом деле не глупы. Они просто не получили такого же образования в области безопасности, как те из нас, кто работает в сфере ИТ.
Итак, если глупость пользователя не является основной причиной проблемы, что такого в социальной инженерии, что делает ее такой эффективной? Прежде чем я смогу ответить на этот вопрос, мне нужно сделать шаг назад и немного сузить определение социальной инженерии. В начале этой статьи я определил социальную инженерию как манипулирование конечными пользователями с целью получения доступа к информации. Проблема с этим определением заключается в том, что оно настолько широкое, что существует множество различных типов атак, которые можно классифицировать как социальную инженерию. Как уже было сказано, даже мошенничество с электронной почтой старого нигерийского принца можно квалифицировать как форму социальной инженерии. Для целей этой статьи я собираюсь ограничить обсуждение атак социальной инженерии теми атаками, которые совершаются либо лично, либо по телефону.
Как социальный инженер строит аферу
Итак, с учетом сказанного, почему атаки социальной инженерии были настолько успешными, что выдержали испытание временем на протяжении десятилетий? Все упирается в метод действий злоумышленника. Чтобы добиться успеха, социальный инженер должен сделать две вещи.
Во-первых, социальный инженер должен излучать уверенность. Представьте на мгновение, что вы ничего не подозревающий конечный пользователь, и вам звонит кто-то, выдающий себя за сотрудника ИТ-отдела вашей компании, и запрашивает какую-то информацию. В такой ситуации уверенность звонящего играет важную роль в том, добьется ли он успеха. Уверенность несет в себе легитимность. Злоумышленник, который может изобразить 100-процентную уверенность, с меньшей вероятностью будет подвергнут сомнению.
Если вы мне не верите, то подумайте об этом. Представьте, что вы попали в какую-то аварию и сильно истекаете кровью. Кому вы больше доверяете помощь: тому, кто говорит, что им нужно найти способ остановить кровотечение, или тому, кто уверенно говорит: «Не волнуйтесь, я точно знаю, что делать».
На самом деле меня поражает, насколько большую роль уверенность играет в социальной инженерии. Может быть, мне не стоило об этом писать, но лет 15 назад ко мне приехал друг из другого города. Через какую-то цепочку событий он узнал, что поблизости есть очень эксклюзивный загородный клуб. Я не член, но мой друг настаивал на том, чтобы пойти проверить это место. Я не был в восторге от этой идеи, но я знал, что его не остановить. Мой друг просто красиво оделся, вошел в парадную дверь и вел себя так, будто это место принадлежит ему. Он провел большую часть дня в загородном клубе, и никто никогда не сомневался в нашем членстве. Мой друг почти ничего не знал о загородном клубе. Его уверенность была его единственным преимуществом в этой ситуации, и все же он безоговорочно справился со своей задачей.
Я думаю, что уверенность, пожалуй, самая важная часть хорошей схемы социальной инженерии. Но есть еще один аспект, который ненамного менее важен. Социальный инженер должен создать ощущение нормальности. Если бы я зашел в случайный офис и начал спрашивать у всех пароль, я уверен, что это подняло бы много красных флажков. Когда незнакомец приходит с улицы и начинает составлять список всех паролей, это, вероятно, выходит за рамки нормы, и все в офисе быстро поймут, что я замышляю нехорошее.
Менее подозрительным подходом социальный инженер мог бы начать с вопроса, кто звонил по поводу компьютерной проблемы. Скорее всего, кто-то в офисе позвонил кому-то в службу технической поддержки. Если кто-то говорит, что ему нужна помощь, тогда социальный инженер может начать невинно задавать вопросы, пытаясь направить разговор в такое русло, которое в конечном итоге принесет ему нужную информацию. Если никто не утверждает, что обращался за технической поддержкой, то социальный инженер все равно хотел бы сохранить ощущение нормальности. Возможно, они могут предположить, что находятся не в том месте, и спросить, есть ли у компании другой офис в городе, куда они должны были пойти вместо этого. Я сильно упрощаю здесь, но важно то, что социальный инженер должен оставаться полностью уверенным, чтобы проецировать легитимность, и они должны действовать таким образом, который кажется совершенно нормальным для тех, кем социальный инженер пытается манипулировать..
Два эффективных способа остановить атаку социальной инженерии
Итак, реальный вопрос заключается в том, как вы можете защитить себя от атаки социальной инженерии? Существует множество различных философий о том, как лучше всего обезопасить организацию от такого рода манипуляций. Однако есть две вещи, которые я считаю особенно эффективными.
Во-первых, я верю в необходимость регулярного обучения пользователей небольшим дозам обучения безопасности. Это не должно быть чем-то формальным. Подойдет даже что-то такое простое, как информационный бюллетень по электронной почте или короткий видеоклип. Главное, чтобы это было актуальным и частым.
Многие компании совершают ошибку, пытаясь провести монолитное обучение конечных пользователей безопасности. Проблема в том, что пользователи забывают большую часть того, что они узнали, как только они выходят за дверь. Кроме того, всегда найдутся пользователи, которые по той или иной причине пропустят обучение. Проведение частых тренингов по безопасности небольшими кусочками создает культуру безопасности, а не позволяет проводить тренинги по безопасности как разовое мероприятие.
Еще одна вещь, которую я считаю особенно эффективной, — это единообразие. Казино в Лас-Вегасе требуют, чтобы дилеры раздавали карточные игры очень специфическим и единообразным образом. Идея состоит в том, что все, что происходит необычного, будет легко узнаваемо, потому что оно не вписывается в жесткий способ, которым обычно делаются вещи. Этот же базовый подход очень хорошо работает для ИТ-безопасности. Если у вас есть жесткие протоколы, то любые отклонения от этих протоколов будут сразу заметны.