Тема. Методы социальной инженерии.


Для защиты сетей и компьютеров создают решения по сетевой безопасности и устанавливают новейшие программы защиты от вредоносного ПО. Однако эти решения не учитывают самое слабое звено – пользователей. Социальная инженерия – это атака, которая пытается заставить человека выполнить определенные действия или раскрыть конфиденциальную информацию.

Для хорошо настроенной сети с высокой степенью защиты атаки с применением методов социальной инженерии представляют наиболее серьезную угрозу. Преступники, применяющие методы социальной инженерии, используют слабости людей, особенности устройства человеческой психики и готовность людей помогать другим.

Защита от атак с применением методов социальной инженерии

Организациям следует информировать сотрудников о рисках, связанных с социальной инженерией, и разрабатывать стратегии подтверждения личности по телефону, электронной почте или лично. На рисунке приведен список рекомендаций, которым должны следовать все сотрудники.


Методы социальной инженерии

Существуют множество различных способов применения методов социальной инженерии. Некоторые методы требуют личного присутствия злоумышленника, другие могут использоваться с помощью телефона или Интернета. Например, злоумышленник может позвонить уполномоченному сотруднику и сообщить о чрезвычайной проблеме, требующей немедленного доступа в сеть. Злоумышленник может играть на тщеславии сотрудника, ссылаться на чей-либо авторитет и хвастаться связями или просто рассчитывать на человеческую алчность.

Виды социальной инженерии

  • Подложные предложения и ссылки. Жертве поступают предложения о выигрыше в лотерее, подарке от известного бренда, замаскированные ссылки на известные сайты с выгодными предложениями, уведомления о необходимости установить ПО для защиты компьютера. После перехода по ссылкам происходит кража данных, которые жертва вводит в предложенной форме или устанавливается вредоносное ПО, похищающее информацию.
  • Телефонный фишинг и фрикинг. Реализуется путем отправки пользователю голосовых сообщений от несуществующих банков с целью получения пин-кодов карты или одноразовых паролей для проведения финансовых операций. Также здесь может использоваться перехват сигналов тонового набора служебных сигналов во время телефонных звонков.
  • Претекстинг. Мошенник представляется подложной персоной и действует по заранее подготовленному сценарию, располагает частью знаний о человеке. Это может быть псевдосотрудник государственных организаций или внутренних органов, который выманивает у жертвы конфиденциальные данные.
  • Квид про кво (услуга за услугу). Атака построена на обращении злоумышленника в интересующую компанию под видом ее персонала по вопросу предоставления ему услуги техподдержки на рабочем месте. Это помогает украсть данные учетных записей и запустить нежелательные процессы.
  • «Дорожное яблоко». Реализуется путем подброса физических носителей информации на территорию интересующей компании, на которых присутствует вредоносный код. Это могут быть CD-диск, флеш-накопитель. Они специально маркируются логотипами и цветами компании, содержат приглашение для использования вроде надписей: «Строго секретно», «Коммерческая тайна», «Доходы компании». Сотрудник использует носитель на своем рабочем месте, после чего происходит кража данных.
  • Плечевой серфинг. Основывается на невнимательности жертвы, которая уверена в своей безопасности и никак не защищает конфиденциальные данные. Злоумышленник осуществляет контакт в общественном месте с жертвой и свободно подсматривает информацию, которая находится в открытом доступе на экранах мобильных устройств.
  • Обратная социальная инженерия. Основывается на доверии к незнакомому человеку, когда жертва добровольно сообщает конфиденциальные данные злоумышленнику. Это характерно при обращении в техподдержку по вопросам блокировки или прекращения доступа. Жертва, желая помочь и ускорить процесс разблокировки сама, сообщает пин-коды, одноразовые пароли, идентификаторы в системе, не подозревая о том, что это может быть использовано против нее. Встречается чаще всего внутри крупных компаний, где коллеги обманывают друг друга или имеют доступ к информации, которая изначально для них закрыта.


Цели и участники социальной инженерии

Целью социальной инженерии выступают конфиденциальные данные , персональные данные, идентификаторы, пароли в системе для авторизации. Также хакеров интересуют ценные виды информации вроде коммерческой тайны, банковских транзакций. Использование социальной инженерии дает практически неограниченные возможности для киберпреступников для манипуляции жертвой и длительного использования ее в своих целях. Участником преступной схемы может стать абсолютно любой человек независимо от его положения в обществе, должности, места работы. Существуют многоуровневые схемы фишинга, где создается сеть со множеством жертв, которых используют скрытно, без подозрений и длительное время. Способы социальной инженерии отличаются разнообразием и в большинстве случаев – это спланированные, заранее подготовленные действия, где выбраны жертвы, определены конкретные цели.

Возможные последствия

  • Компрометация информации. Попадание конфиденциальных сведений в руки третьей стороны грозит высокими финансовыми и репутационными рисками для компании. Могут быть раскрыты коммерческая тайна, внутренние разработки.
  • Нарушение доступности и целостности информации. Преступники могут уничтожить или модифицировать сведения, находящиеся в базах данных, что не позволит использовать их по целевому назначению владельцу.
  • Нецелевое использование информации. Полученные конфиденциальные сведения могут быть использованы для осуществления мошеннических схем, чреватых финансовыми и репутационными потерями компании.