IT ManagerБезопасностьУправление ИБ

Чек-лист по борьбе с социальной инженерией

Ксения Шудрова | 26.02.2020

Чек-лист по борьбе с социальной инженерией

Угроза социальной инженерии актуальна для всех. Атака может быть направлена как на непосредственное получение денег, так и на сбор конфиденциальной информации с целью ее монетизации. Иногда социального инженера интересует даже не само предприятие, а конкретный сотрудник, чаще всего руководитель. Предугадать цель новой атаки практически невозможно, но принять профилактические меры по самым популярным направлениям вполне реально. Ниже представлены 18 наиболее актуальных, на мой взгляд, целей атак социальных инженеров, для удобства они объединены в следующие категории: бумага, угрозы из Сети, территория, люди и ситуации. Вы можете изменить список в соответствии со спецификой деятельности своей организации.

Бумага


Телефонные справочники

Из телефонного справочника социальный инженер может почерпнуть обширную информацию о предприятии:

  • ФИО сотрудников;

  • полное название должностей;

  • номера служебных телефонов;

  • организационную структуру;

  • численность управляющего персонала;

  • номера кабинетов и т. д.

Особенно полезной для социального инженера будет информация о ФИО и должности непосредственного руководителя нужного сотрудника, обладая такими знаниями, можно выдать себя за другого человека. К примеру, социальный инженер может позвонить бухгалтеру и представиться главным бухгалтером или сказать, что он звонит по его поручению, для убедительности упомянув еще парочку имен из справочника. Если сотрудник поверит в легенду, то социальный инженер сможет обратиться к нему с просьбой, а дальше все будет зависеть от цели атаки и фантазии социального инженера. Именно с помощью телефонных справочников Кевин Митник проводил свои знаменитые атаки и несмотря на то, что книга «Искусство обмана» вышла аж в 2002 году, актуальности описанные в ней сценарии не потеряли.

Что можно сделать?

  • Ограничить количество телефонных номеров. Чем больше сотрудников имеют одинаковые номера, тем лучше – социальному инженеру будет сложнее установить контакт.

  • Организовать запись телефонных разговоров.

  • Ограничить использование личных телефонов для решения рабочих вопросов.

  • Внести телефонный справочник в перечень конфиденциальной информации предприятия и нанести на обложку ограничительную пометку или гриф.

  • Научить сотрудников безопасно вести телефонные переговоры.

  • Разработать способы подтверждения устных указаний руководства: письмо на корпоративную почту, письменный документ, кодовое слово или ответный звонок.


Доска объявлений

На доске объявлений социальный инженер может найти не только вышеупомянутые ФИО и должности сотрудников, но и узнать о них дополнительную информацию:

  • фотографии;

  • рабочие достижения (звания, дипломы, конкурсы);

  • события личного характера (свадьбы, юбилеи, рождение детей, тяжелые жизненные ситуации).

После изучения доски объявлений социальный инженер может определить наиболее подходящего для установления контакта сотрудника. Может быть использовано тщеславие (лучший работник), потребность в дополнительном заработке (родился ребенок), рассеянность (соболезнования), доброта (благотворительный сбор).

Что можно сделать?

  • Минимизировать информацию на доске объявлений.

  • В небольших коллективах максимально анонимизировать объявления: не «Иванова Анастасия Сергеевна – лучший работник», а «Екатерина – лучший работник».

  • Размещать доску объявлений в местах, где посторонние бывают редко.


Книга отзывов и предложений

Книга отзывов и предложений по закону всегда должна быть в открытом доступе, в ней социальный инженер может найти ФИО, должности и характеристики сотрудников. Для выполнения атаки социальному инженеру может понадобиться самый недобросовестный работник, поскольку его легче будет склонить к сотрудничеству. Еще лучше, если выговор был сделан недавно и еще свежа обида на работодателя.

Что можно сделать?

Как можно меньше информации размещать непосредственно в книге, стараться ограничиваться общими фразами (содержание ответов не регламентировано). Основное общение с клиентами вести по указанным контактам.


Визитки

На визитке обычно указаны: ФИО, должность, адрес, контактные телефоны, e-mail. Визитка позволяет напрямую контактировать с сотрудником, часто по мобильному телефону. Не важно, кому была дана визитка, она в любой момент может оказаться в руках социального инженера.

Что можно сделать?

  • Максимально сузить круг лиц, которые имеют визитки.

  • Не указывать личные номера телефона и e-mail.

 

Буклеты

Буклеты похожи на визитки, но информации в них больше, они подробно рассказывают о деятельности организации и обычно дублируют информацию с сайта. В буклетах могут быть указаны контакты сразу нескольких сотрудников: ФИО, должности, номера телефонов, e-mail. Такая информация вполне может пригодиться социальному инженеру. Имея один, а лучше несколько адресов корпоративной электронной почты, можно предположить, по какому правилу они создаются. К примеру, часто используются правила «имя.фамилия@домен» или «инициалы@домен». Зная ФИО нужного сотрудника и правило создания e-mail, можно с высокой долей вероятности предположить его электронный адрес.

Что можно сделать?

  • Максимально сузить круг лиц, указанных в буклете.

  • Создавать «публичные» e-mail по другим правилам, давать им ничего не значащие названия, например, «номер телефона@домен».

  • Не указывать личные номера телефона и e-mail.

 

Мусор

В мусоре социальный инженер может обнаружить черновики, образцы продукции, старые документы, даже заметки с совещаний. Из новостей довольно часто можно узнать о неправильной утилизации медицинских карт, кредитных договоров и другой конфиденциальной информации.

Что можно сделать?

  • Следовать порядку уничтожения документов в организации.

  • Использовать шредеры.

  • Черновики и образцы уничтожать так же, как документы.

 

Угрозы из сети

 

Сайт

Сайт – это первое, с чего начнет искать информацию об организации социальный инженер. Здесь можно найти новости о состоянии дел компании, ФИО, должности, фотографии сотрудников, в том числе руководителей, контактные телефоны, адреса, e-mail. В рубрике «Вопрос-ответ» можно узнать ФИО и должности специалистов, которых не указывают в контактах.

Что можно сделать?

  • Минимизировать предоставляемую на сайте информацию о сотрудниках, в том числе фотографии и служебные телефоны.

  • Указывать ограниченный список «публичных» e-mail.

  • Проверять новые материалы и новости на предмет наличия конфиденциальной или избыточной информации.

 

Корпоративная почта

Социальный инженер может отправить фишинговое письмо или просто втянуть сотрудника в переписку, постепенно узнавая нужную для себя информацию. Социальный инженер может представляться клиентом или организацией, которая ищет сотрудничества, а также контрагентом, общественной организацией и даже проверяющим.

Что можно сделать?

  • Разработать порядок работы с корпоративной почтой.

  • Обучить сотрудников правилам безопасной работы с электронными письмами.

  • Физически отделить «публичные» адреса от корпоративной сети.

 

Социальные сети

В социальных сетях организации обычно быстрее реагируют на сообщения. Социальный инженер может сам инициировать диалог и представиться клиентом компании: заявить о проблеме, узнать дополнительную информацию. Также ему могут пригодиться отзывы других пользователей сети, особенно негативные, что позволит узнать слабые места сервиса.

Что можно сделать?

Разработать регламент общения в социальных сетях и строго следовать ему при общении от имени официального представителя.

Объявления о вакансиях

Социальный инженер может многое почерпнуть из объявлений о вакансиях:

  • вакантные должности;

  • текучка на предприятии;

  • контактная информация: отдел кадров, специалисты;

  • используемые технологии (операционная система, СУБД, сетевое оборудование, языки программирования, на которых написано собственное программное обеспечение, есть ли домен, какие протоколы используются и т. д.);

  • уровень зарплат сотрудников.

Что можно сделать?

  • Минимизировать информацию об используемых технологиях.

  • Указывать контакты исключительно отдела кадров.

 

Территория

 

Проходная

Если социальному инженеру нужен доступ на территорию, он обязательно изучит, как устроен ваш пропускной режим:

  • зоны общего доступа;

  • какая смена на вахте более сговорчива;

  • кем надо представиться, чтобы пропустили без проверки документов;

  • где находятся камеры видеонаблюдения.

Надо понимать, что для проникновения на территорию могут быть использованы самые благовидные предлоги. Социальный инженер может сказать, что ему стало плохо, срочно требуется посетить дамскую комнату, позвонить ребенку и т. д. Это может быть группа лиц, один из которых будет отвлекать вахтера.

Что можно сделать?

  • Пропускной режим на бумаге и в жизни должен быть одинаково строгим.

  • Проводить периодические проверки вахтеров/охранников.


Приемная руководителя

Приемная руководителя – место, где можно не только дождаться руководителя, но и посмотреть, какие документы лежат на столе, понаблюдать за другими посетителями, изучить названия папок в шкафах и пообщаться с секретарем, многие из которых очень разговорчивы.

Что можно сделать?

  • Убирать всю документацию на столе в непрозрачные папки.

  • Отвернуть экран монитора секретаря от двери, окон и стульев для посетителей.

  • По возможности не использовать шкафы со стеклянными дверцами.

  • Избегать нанесения на папки интригующих названий, например «Очень важная».

  • Не оставлять посетителей без присмотра.

  • Всегда проверять копировальную технику на забытые документы.

 

Клиентская зона

Иногда из-за нехватки места клиентов принимают в том же помещении, где работают сотрудники, никак с клиентами не связанные. Социальный инженер может увидеть информацию на мониторах, подсмотреть, что написано в документах на столах, а также попытаться завязать беседу с сотрудниками.

Что можно сделать?

  • Выделить клиентскую зону, физически отгородить ее от других рабочих помещений.

  • Посетители не должны видеть изображение с мониторов сотрудников, за исключением отдельных ситуаций.

  • Посетитель не должен видеть документы, которые не касаются его напрямую.

 

Люди

 

Сотрудники

В подавляющем большинстве атак социальный инженер использует сотрудников для достижения своих целей. Работники, которые чем-то недовольны или собираются увольняться, охотнее идут на контакт с социальным инженером.

Что можно сделать?

  • Особое внимание уделить сотрудникам, которые увольняются: ограничить права доступа, использование съемных носителей информации, доступ к базам данных.

  • Проводить обучение сотрудников методам противодействия социальной инженерии.

 

Стажеры

Стажеры часто имеют доступ в корпоративную сеть, к бумажным документам, в большинство служебных помещений, могут общаться с сотрудниками, пользоваться телефонным справочником. Под предлогом бесплатной работы на предприятие может устроиться социальный инженер.

Что можно сделать?

  • Ограничить доступ к конфиденциальной информации.

  • Организовать постоянный контроль за деятельностью стажеров.

 

Соискатели

Под видом соискателя социальный инженер может контактировать с сотрудниками напрямую, расспрашивать о структуре и деятельности предприятия, будущих должностных обязанностях, иногда даже может свободно ходить по территории, изучать названия кабинетов и общаться с сотрудниками, в том числе с сотрудником, место которого он якобы собирается занять. К человеку, уже прошедшему несколько этапов собеседования, коллектив относится как к потенциальному коллеге. Социальный инженер в такой ситуации может узнавать необходимую информацию в неформальной беседе.

Что можно сделать?

  • Не оставлять соискателей без присмотра.

  • Ограничить время их нахождения на территории.

 

Ситуации

 

Общение со СМИ

Официальные заявления организаций через СМИ могут содержать избыточную информацию, что играет на руку социальным инженерам.

Что можно сделать?

  • Определить список запретных для упоминания тем.

  • Минимизировать предоставление персональных данных сотрудников.

 

Конференции и выставки

Общение на конференциях достаточно неформальное, а сотрудники могут быть более откровенными. Социальный инженер может представиться или коллегой, или потенциальным клиентом. Также он будет внимательно изучать буклеты, бейджи, стенд и раздаточные материалы.

Что можно сделать?

  • Проверять материалы для конференций на избыточность предоставляемой информации.

  • Обучать сотрудников навыкам противостояния социальной инженерии.

 

Заключение

 

Все приведенные выше направления атак так или иначе связаны с сотрудниками. Что можно с этим сделать? Непрерывно обучать и всесторонне контролировать.

Социальная инженерия

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 02/2020], Подписка на журналы

Мысли вслух

Похоже, что за пару недель с удаленным доступом все устаканилось. Что могло упасть – упало и поднялось, чего не хватало – докупили и запустили.

Эксперт: Ольга Попова

В последнее время в Сети появилось много лайфхаков на тему «как работать на удаленке». Где люди с опытом делятся с офисными менеджерами секретами удаленной работы.

Эксперт: Павел Потеев

Сейчас у выступающих и пишущих коллег две приоритетные темы: как переформатировать работу под удаленку и что будет, когда изоляция людей, компаний, индустрий, экономик закончится?

Компании сообщают

Мероприятия