«Мишень» социальной инженерии – это вы сами
Эта тема выбрана неслучайно. Социальная инженерия (СИ) представляет собой отнюдь не что-то заумное, чем занимаются лишь избранные, как считают некоторые, а весьма эффективный метод управления действиями человека, основанный на использовании его слабостей.
Под применением СИ в сфере информационной безопасности понимают использование ряда техник, с помощью которых киберпреступники выманивают конфиденциальную информацию у жертв либо побуждают жертву к совершению действий, предоставляющих злоумышленникам доступ к данным в обход системы безопасности.
В повседневной жизни мы сталкиваемся с методами социальной инженерии на каждом шагу: например, к ним часто обращаются в сфере маркетинга или продаж. Но когда их используют для проникновения в информационные системы, их применение выходит за рамки традиционных методов нарушения корпоративного периметра и может иметь самые тяжелые последствия для бизнеса. И в данном случае необходимо задуматься об информационной безопасности и методах противодействия данному разрушительному явлению. Как всем известно, человеческий фактор – это те слабости, которые регуляторными методами (в частности, в компании), вероятно, не исключить. Что же можно сделать?
Многие исследователи считают, что социальная инженерия стала одним из основных инструментов хакеров XXI века. И это действительно так: технические системы защиты становятся все совершеннее и надежнее, а люди – со всеми их слабостями, предрассудками, стереотипами – так и остаются людьми, самым слабым звеном в цепочке безопасности.
Человеческий фактор и управление им уже много веков подряд продолжают занимать умы ученых, сейчас такими же актуальными становятся вопросы проблематики информационной безопасности (ИБ) и возможности управления этими факторами в рамках ответственности внутри компании, которая ложится на плечи управляющих ИБ. Когда в компании проводится аудит системы информационной безопасности, пентесты чаще всего затрагивают лишь технические элементы оборонительных рубежей. Но для методов социальной инженерии выстроенные преграды препятствием не являются.
Основоположником СИ принято считать Кевина Митника (Kevin Mitnick), который в конце 80-х годов прошлого столетия и ввел этот термин. Однако в то время действия хакеров были направлены на информацию, хранившуюся на материальных носителях, и лишь в некоторых случаях ? в ЭВМ. Сейчас, в период взрывного развития технологий, арсенал киберпреступников, опирающихся в своей деятельности на человеческий фактор, становится все более изощренным.
Схема и методы СИ
Практика показывает, что большинство киберпреступников предпочитает не тратить время на применение технологически сложных приемов взлома, если необходимые сведения можно получить посредством СИ. Более того, существует множество сайтов, где описаны принципы работы техник СИ и причины их успеха. Например, это сайт SocialEngineer.org, представляющий применение принципов СИ в теории и на практике.
Основную схему действия СИ можно описать следующим образом:
· формирование цели воздействия на объект (компанию, на которую нацелена соцатака);
· сбор информации об объекте воздействия;
· обнаружение наиболее удобной «мишени воздействия» (сотрудника компании);
· аттракция – создание нужных условий для воздействия социнженера на «мишень»;
· принуждение к нужному действию;
· достижение нужного результата.
Рассмотрим наиболее распространенные виды мошенничества, основанные на СИ, чтобы понять, какое место они занимают в арсенале хакера.
Фишинг (phishing, от англ. fishing – рыбалка, выуживание) – отправка электронных писем от кажущихся достоверными источников (руководство, банк, ИТ-отдел и пр.) с целью получения от адресата конфиденциальной информации. Письмо может содержать прямой запрос на необходимые социнженеру данные или ссылку на фейк-сайт, в точности повторяющий оригинальный. Необходимо учитывать, что подобное письмо может прийти не только в электронном, но и бумажном виде по почте. Статистика показывает, что на сегодняшний день данный вид мошенничества используется в 77 % всех СИ-атак. Стоит также обратить внимание на то, что 90 % всех электронных писем являются либо спамом, либо вирусом.
Пример. Финансовый директор одной из крупных сетей частных швейцарских клиник получил электронное письмо о смене банковских реквизитов для оплаты аренды помещений. Он решил проверить информацию и позвонил по указанному в письме номеру. Человек на другом конце провода подтвердил содержание письма, извинился за причиненные неудобства и попросил впредь переводить все платежи на новый счет. Финансовый директор последовал полученным инструкциям, а спустя несколько дней ему сообщили, что у компании имеется долг перед арендодателем в размере переведенной суммы – нескольких сотен тысяч швейцарских франков.
Фарминг (от англ. farming – занятие сельским хозяйством) – перенос на компьютеры пользователей специальных вредоносных программ, которые после запуска начинают собирать данные платежного аккаунта с целью их передачи киберпреступнику. После этого украденные средства переводятся на специальные аккаунты (так называемые дропы) и монетизируются.
Пример. В группу сопровождения некой платежной системы пришла жалоба от пользователя о том, что у него выведены со счета все средства. После первичного расследования данного инцидента выяснилось, что все деньги в штатном режиме за несколько транзакций были переведены самим пользователем на разные счета. До сложившейся ситуации никакой связи (операций) между пользователем и этими счетами не имелось.
Вишинг (vishing, от англ. voice fishing – голосовая рыбалка) – получение информации (например, данных кредитных карт, паролей и пр.) с помощью телефона. В этом случае широко используется такой инструмент, как phone spoofing – подмена номера телефона. Эффективность вишинга может быть разной в зависимости от выбранной стратегии. Желаемый результат достигается при использовании SMS-рассылки в 14 % случаев, при просьбе перезвонить на указанный номер – в 26 %, а при предложении перейти по ссылке в текстовом сообщении – в 60 %.
Пример. Вы помощник руководителя крупной компании, постоянно отвечаете на звонки со всего мира. Звонок с внутреннего номера компании не привлекает вашего внимания: «Здравствуйте! Вас беспокоит техподдержка, Александр Самойлов. Хочу проверить настройки файервола». Далее разговор перерастает в обычную проверку вашего компьютера и не вызывает подозрений. Затем звонки повторяются: Саня Самойлов сообщает, что хочет пообщаться с вами пару минут за кофе, а через некоторое время, постепенно втершись в доверие, просит найти для него какую-то внутреннюю информацию. И вы, воспринимая его слова как просьбу друга-коллеги, легко соглашаетесь и предоставляете ему конфиденциальные сведения.
Олицетворение (от англ. impersonation). Этот метод СИ не самый популярный, поскольку подразумевает личное (физическое) участие социнженера в придуманном им сценарии, из-за чего возникает большая вероятность «засветить» свое лицо. В данном случае социнженер играет роль другого человека с целью получения информации или доступа к нужному сотруднику или компьютерной системе компании.
Пример. В вашу компанию приходит соискатель какой-либо должности и во время собеседования сообщает, что забыл принести свои дипломы и рекомендательные письма, но они у него есть в электронном виде, поэтому он просит разрешения воспользоваться офисным компьютером. Не видя в этом ничего необычного, вы легко даете согласие. В результате компьютерная сеть компании оказывается зараженной трояном.
Вне зависимости от того, какими методами пользуется социнженер, как правило, он хороший психолог. Интуитивно или опираясь на специальные знания, он точно знает, на какие кнопки человеческой души нажимать, чтобы расположить свою «мишень» к себе, вызвать у нее доверие и в результате получить необходимую информацию.
«Технически противостоять нельзя обучить». Где ставить запятую?
Мы обрисовали проблему. Остался вопрос: как же можно противостоять СИ? Основные способы противодействия относятся к превентивным мерам предосторожности, охватывающим все известные вариации СИ-атак. На наш взгляд, каждая компания, заботящаяся о своей репутации, должна не только интегрировать их, но и контролировать своевременное использование.
Шаг первый – «оборонительные действия». Цель – доведение до всего персонала компании четких и понятных протоколов безопасности. Каждый сотрудник должен знать следующее: кто, где, когда и почему имеет право работать с коммерчески ценной информацией, какие действия необходимо предпринять, в случае если он стал жертвой СИ. Так создается внутрикорпоративная культура, ориентированная на безопасность.
Шаг второй ? тест на проникновение и аудит системы безопасности. Цель – раскрытие истинных уязвимых мест системы с проверкой на практике реальных способов проникновения. При этом не стоит забывать о проверке веб-приложений: как показывает практика, наличие в них уязвимых мест упрощает использование фишинга и вишинга. Тест и аудит будут более эффективными в случае привлечения сторонних независимых и проверенных специалистов, имеющих опыт работы по проектам с СИ. Именно такой «этичный хакер» поможет правильно подобрать и внедрить технические средства противодействия: фильтр-программы, одноразовые пароли в системах аутентификации, методы синхронизации по времени, месту и пр.
Шаг третий – обучающие тренинги по безопасности для всех сотрудников без исключения. Данная мера представляется наиболее действенным методом предотвращения соцатак в любой компании. Например, моделирование реальной соцатаки до тренинга позволит во время обучения проанализировать результат данной атаки, дать рекомендации, как себя вести в подобной ситуации, и разработать способы предотвращения ее повторения. Моделирование реальной соцатаки после тренинга является проверкой усвоения материала на практике.
С учетом всего сказанного поставить запятую в вышеприведенной фразе несложно: «Технически противостоять нельзя, обучить».
В заключение хотелось бы отметить, что описанные методы помогут компании значительно снизить риски и смягчить возможные последствия атак с использованием СИ, однако окончательно закрыть брешь в социальном сегменте ИБ они пока не в состоянии. Ведь СИ – это атака со стороны человека, а не машины. Можно закрыть баг в ПО, обновить прошивку в устройстве, однако фишеры-вишеры паразитируют на проблемах человеческого фактора, которые так быстро решить нельзя.
Изучение методов СИ может показаться слишком трудоемким и затратным делом. Однако целесообразность таких знаний становится очевидной, если сопоставить необходимые расходы и тот ущерб, который способны нанести соцатаки. Опыт многих компаний показывает: должное внимание к способам противодействия СИ и их обязательное включение в стратегию ИБ позволят более уверенно выстраивать свой бизнес, ориентируясь на реалии сегодняшнего дня.
Опубликовано 24.09.2015