Социальная инженерия: почему люди представляют наибольшую угрозу безопасности
Когда дело доходит до кибербезопасности, широкая общественность склонна думать с точки зрения технологий. Это вполне естественно, поскольку хакеры атакуют и взламывают технологические интерфейсы. Эти атаки становятся злонамеренными в руках черных хакеров (то есть тех, кто портит репутацию остальному хакерскому миру).
Если бы вы провели опрос общественного мнения, например, в корпоративном офисе о том, как лучше защитить сеть, скорее всего, большинство ответов были бы связаны с технологиями. Вы, вероятно, слышали упоминания о брандмауэрах и других эффективных средствах сдерживания, которые основаны исключительно на киберпространстве.
Это проблематично для тех из нас, кто занимается информационной безопасностью.
Проблема не в том, что брандмауэры и тому подобное плохи, а в том, что большинство просто не понимает, что люди являются величайшей защитой (и уязвимостью) для сети. Человеческая ошибка, без сомнения, является постоянной угрозой безопасности любой данной системы. Хакеры-злоумышленники не только талантливы в кодировании и обходе мер безопасности; многие также талантливы во взломе людей.
Под взломом людей я подразумеваю концепцию, известную как социальная инженерия. Социальная инженерия чрезвычайно эффективна для повышения привилегий в сети и кражи (или уничтожения) данных. Социальная инженерия была ответственна за успешные атаки на организации частного и государственного секторов на протяжении многих лет, и, честно говоря, нетрудно понять почему:
Люди слишком сильно верят в технологии, которые защитят их.
На самом деле взлом — это поиск пути наименьшего сопротивления. Зачем взламывать зашифрованный пароль, если можно заставить кого-то случайно дать вам незашифрованную версию? Зачем пытаться установить бэкдор-вирус самостоятельно, если можно заставить невольного сотрудника подключить зараженный USB-накопитель? Некоторые из величайших взломов в истории были результатом социальной инженерии, и это будет продолжаться до тех пор, пока об этом не узнает больше людей.
Хотя в этой статье невозможно привести исчерпывающий список методов социальной инженерии, я постараюсь выделить наиболее распространенные из них. Надеюсь, после прочтения вы поймете, как лучше подготовиться к борьбе с киберпреступниками.
травля
Человеческое любопытство — это скрытое благословение, когда вы хакер. Если вы оставите USB-накопитель или компакт-диск лежать в офисе, есть вероятность, что кто-нибудь возьмет его и вставит в свой компьютер. Без ведома дурака, который взял этот загрузочный носитель, у хакера есть вредоносная полезная нагрузка, готовая к выполнению в ту же секунду, когда она будет активирована. К тому времени, когда отдел кибербезопасности в компании был предупрежден, было уже слишком поздно. Вирус проник во внутреннюю сеть, и множество конфиденциальных данных созрело для сбора.
Тактика травли доказала свою эффективность даже на самых высоких уровнях власти. В 2008 году Пентагон был заражен опасной, не поддающейся обнаружению формой вредоносного ПО под названием agent.btz, которое позволяло открывать многочисленные лазейки. Атака была совершена с USB-накопителя, который остался лежать на военной базе США с доступом к Центральному командованию США. Все, что понадобилось, это один человек, который клюнул на приманку, чтобы вызвать то, что было названо «худшим взломом военных компьютеров США в истории».
Из всех атак социальной инженерии проще всего предотвратить приманку. Если это не очевидно из приведенных примеров, ни при каких обстоятельствах не вставляйте в свой рабочий компьютер неизвестные USB-накопители, компакт-диски, DVD-диски или что-либо подобное. Да, я знаю, любопытство убивает вас, но стоит ли ставить под угрозу безопасность вашей компании и, возможно, терять работу?
Целевой фишинг
Вы, наверное, слышали о фишинговых письмах. Если нет, то краткий обзор заключается в том, что фишинговые электронные письма — это атака социальной инженерии, которая пытается заставить многих людей раздавать конфиденциальную информацию по электронной почте. Фишинговое электронное письмо обычно выдает себя за финансовое учреждение и запрашивает такие вещи, как номера социального страхования и тому подобное.
Целевой фишинг делает еще один шаг вперед, поскольку он нацелен на одного конкретного человека (или нескольких), а не на массовую рассылку электронных писем. Что сделает киберпреступник, так это найдет имя кого-то, кто работает в их целевом месте. Затем хакер проведет исчерпывающий поиск этого человека, чтобы создать электронное письмо, которое с гораздо большей вероятностью будет открыто и на него ответят. Источник будет выглядеть законным, а тело сообщения может легко обмануть конкретного человека, заставив его перейти по вредоносным ссылкам.
На самом деле не существует надежного способа защиты от целевого фишинга, но некоторые меры можно принять. Помните о своем цифровом следе и о том, как киберпреступник может использовать его против вас. Эта информация может быть в социальных сетях (которые я рекомендую держать как можно более закрытыми или неличными), блогах или где-либо еще, что навсегда запечатывает ваше имя в данных поисковых систем. Во-вторых, если в электронном письме вас просят щелкнуть ссылку (что в большинстве случаев является способом загрузки вредоносного ПО), посмотрите на URL-адрес. Скорее всего, в адресе что-то не так, например слова с ошибками или странные символы, которые обычно не присутствуют в URL-адресе.
В общем, я бы посоветовал не переходить по любым ссылкам, даже тем, которым вы можете доверять на работе, если только они не связаны с вашей работой. Риск действительно того не стоит. Вы можете подумать, что отдел безопасности — это кучка головорезов, которые не позволяют вам искать личные веб-сайты на работе, но на самом деле они пытаются предотвратить атаку. Та же логика применима и к фишинговым письмам. Чтобы действительно предотвратить такую атаку, не открывайте личные электронные письма на работе (особенно электронные письма со ссылками).
Задняя дверь
Наша природа, как людей, склонна хотеть делать такие вещи, как держать дверь открытой для незнакомцев. В большинстве случаев в этом акте доброты нет ничего плохого. Однако есть возможность использовать человеческую вежливость, когда речь идет о зданиях, в которых есть пропуска или карты безопасности. Это атака социальной инженерии, используемая хакерами, называемая tailgating.
Представьте на секунду слишком распространенный сценарий. Вы работаете в офисном здании, которое требует, чтобы вы провели значок, чтобы войти в парадную дверь. Когда вы входите в свое здание, человек говорит: «Вы не могли бы придержать для меня дверь? Я потерял значок!» Этот человек одет в одежду, соответствующую стандартам вашей работы, и вы думаете: «Хорошо, почему бы и нет?»
Большая ошибка.
Вы вполне могли впустить хакера, который теперь имеет внутренний доступ к вашей сети. Киберпреступнику гораздо проще атаковать компанию изнутри, чем удаленно (поэтому скрытая атака так выгодна для черной шляпы).
Решение здесь снова является проявлением здравого смысла. Не пускайте в свое здание никого без надлежащего удостоверения личности, если вы работаете на «безопасном» объекте. Вы можете чувствовать себя придурком, когда говорите кому-то «нет», но вы являетесь потенциальным (и невольным) соучастником киберпреступления, если этот человек не тот, за кого себя выдает. Тестеры на проникновение (также известные как эксперты по информационной безопасности, которым платят за взлом компаний) часто сообщают, что простые тонкости, такие как открытие двери в закрытую зону, были обычным явлением во время пентеста. Воспринимайте это как предупреждение от экспертов, поскольку вы не хотите быть причиной того, что ваш работодатель теряет деньги или данные из-за преступников.
Предлог
Последняя обсуждаемая атака социальной инженерии — это попытка получить конфиденциальную информацию с помощью (по крайней мере, в большинстве случаев) телефонного звонка. Предлог работает таким образом, что злоумышленник связывается с сотрудником, а затем изображает из себя авторитетную фигуру (например, высшее руководство или ИТ-подразделение). Телефонный звонок может быть следующим:
«Здравствуйте, это мистер Смит из ИТ-подразделения, мы заметили тревожную активность вашего компьютера. Мы хотели бы временно получить к нему доступ, чтобы определить, с каким типом вируса мы имеем дело. Можете ли вы дать нам свои данные для входа, и мы немедленно отправим кого-нибудь в вашу кабинку?»
Если вас заставили поверить этому человеку, вы только что предоставили ему полный доступ к вашему компьютеру, с которого он может повысить привилегии (таким образом, начав следующую волну их кибератаки).
Если вы думаете, что вас обманывают, не бойтесь спросить удостоверение личности человека и номер жетона. Поищите в своей базе данных, чтобы подтвердить их личность, или найдите того, кто может это сделать. Во всяком случае, большинство офисных телефонов в настоящее время имеют идентификатор вызывающего абонента, и поэтому вы должны использовать это в своих интересах. У звонящего есть номер, который не похож на ваш обычный номер компании?
Даже если это так, имейте в виду, что очень легко подделать идентификатор вызывающего абонента, поэтому, возможно, скажите: «У меня здесь плохой прием, могу я повесить трубку и перезвонить вам? По какому номеру и добавочному номеру мне звонить?» Скорее всего, это отключит человека на другом конце, поскольку у него не будет логического ответа для вас. Если они дают вам номер, сделайте быстрый поиск по нему.
Поверьте мне, эти методы могут показаться безумными, но вы никогда не можете быть слишком параноиком, когда дело касается безопасности.
Всегда будут появляться новые типы вредоносных программ, которые киберпреступники пытаются кодировать и выпускать в мир. Атаки на технологическом уровне постоянно развиваются, поскольку для защиты от таких угроз создаются средства защиты. Однако одним из постоянных инструментов является социальная инженерия, поскольку никто не может заставить человека следовать протоколам безопасности. «Учебник» по социальной инженерии никогда не нуждался в значительной адаптации, поскольку всегда есть люди, которые попадаются на самую старую уловку в книге.
Надеюсь, эта статья дала вам некоторое представление о том, как думают злоумышленники и как вы можете противостоять их усилиям социальной инженерии. Вы никогда не знаете, когда хакер в черной шляпе может попробовать эти методы; это случается чаще, чем вы думаете.