Телевизор 

Социальная инженерия. Примеры социальной инженерии

Социальная инженерия – способ получения доступа к конфидециальной информации, паролям, банковским и другим защищенным данным и системам.
Киберпреступники используют социальную инженерию для проведения таргетированных атак (атаки на инфраструктуру компаний или государственных структур). Они заранее тщательно изучают средства защиты этой организации.

Публикация данной статьи на портале www.. Ни редакция сайта, ни автор статьи не несут ответственности за ненадлежащее использование полученной из статьи информации!

Социальная инженерия

Считается, что социальная инженерия - самый опасный и разрушительный вид атак на организации. Но к сожалению на конференциях по информационной безопасности этому вопросу практически не отводится внимания.

При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и книги . Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

Социальная инженерия в информационной безопасности и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько примеров применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

Давайте определимся с понятиями, чтобы всем было ясно, что я имею в виду. В статье я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с , мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине - это не социальная инженерия.

В данной сфере я буду выступать лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, - это отслеживание пользователя счетчиком «Яндекс.Метрики».

Примеры социальной инженерии

Наверняка вы слышали про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео - это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

Верифицированный отправитель

Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше - наш текст и ссылка. Сообщение от сервиса будет в самом низу.

Как это превратить в оружие массового поражения?

Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки - нужно было только немного автоматизировать заполнение формы.

Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов.

А вот «тренд» апреля 2018-го.

Письма с Google Analytics

Расскажу о совсем новом случае - за апрель 2018 года. С почты Google Analytics на несколько моих адресов начал приходить спам. Немного разобравшись, я нашел способ, которым его отправляют.


Примеры социальной инженерии. Метод «Верифицированный отправитель»

«Как это применить?» - подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст.


Примеры социальной инженерии. Метод «Верифицированный отправитель»
Примеры социальной инженерии. Метод «Верифицированный отправитель»

Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов.

Любопытство

Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют.


Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов.

Фейковая подписка на рассылку

А что это там написано?

Чтобы заманить людей с какого-нибудь форума или сайта с открытыми комментариями, не нужно выдумывать заманчивые тексты - достаточно всего лишь запостить картинку. Просто выберите что-нибудь попривлекательнее (какой-нибудь мем) и ужмите так, чтобы различить текст было невозможно. Любопытство неизменно заставляет пользователей кликать по картинке. Я в своих исследованиях провел эксперимент и получил таким примитивным способом около 10k переходов. Этим же способом злоумышлении когда-то доставляли трояны через ЖЖ (живой журнал).


Как вас зовут?

Заставить пользователя открыть файл или даже документ с макросом не так сложно, даже несмотря на то, что многие слышали о подстерегающих опасностях. При массовой рассылке даже просто знание имени человека серьезно повышает шансы на успех.

Например, мы можем отправить письмо с текстом «Этот email еще активен?» или «Напишите, пожалуйста, адрес вашего сайта». В ответе как минимум в 10–20% случаев придет имя отправителя (чаще это встречается в крупных компаниях). А через какое-то время пишем «Алёна, здравствуйте. Что такое с вашим сайтом (фото приложил)?» Или «Борис, добрый день. Никак не разберусь с прайсом. Мне 24-я позиция нужна. Прайс прикладываю». Ну а в прайсе - банальная фраза «Для просмотра содержимого включите макросы…», со всеми вытекающими последствиями.

В общем, персонально адресованные сообщения открываются и обрабатываются на порядок чаще.

Массовая разведка

Этот сценарий - не столько атака, сколько подготовка к ней. Предположим, мы хотим узнать имя какого-то из важных сотрудников - например, бухгалтера или руководителя службы безопасности. Это несложно сделать, если отправить кому-то из сотрудников, которые могут обладать этой информацией, письмо следующего содержания: «Подскажите, пожалуйста, отчество директора и график работы офиса. Нужно отправить курьера».

Время работы спрашиваем, чтобы замылить глаза, а спрашивать отчество - это трюк, который позволяет не выдавать, что мы не знаем имени и фамилии. И то и другое, скорее всего, будет содержаться в ответе жертвы: ФИО чаще всего пишут целиком. Мне в ходе исследования удалось таким образом собрать ФИО более чем двух тысяч директоров.

Если нужно узнать почту начальства, то можно смело писать секретарю: «Здравствуйте. Давно не общался с Андреем Борисовичем, его адрес еще рабочий? А то ответ не получил от него. Роман Геннадьевич». Секретарь видит email, выдуманный на основе настоящих ФИО директора и содержащий сайт компании, и дает настоящий адрес Андрея Борисовича.

В век информационных технологий социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка. Если вы думаете, что социальная инженерия – такая выдумка из книг-антиутопий или сомнительная психологическая практика, то эта статья изменит ваше мнение.

Что называют социальной инженерией?

Сам по себе термин – социологический и обозначает совокупность подходов к созданию таких условий, при которых возможно управлять человеческим поведением. В той или иной степени приемы социальной инженерии используются людьми с древнейших времен. В Древней Греции и Древнем Риме очень ценились ораторы, обладающие особым искусством убеждения, таких людей привлекали к участию в дипломатических переговорах. Деятельность спецслужб также во многом строится на приемах социальной инженерии, а XX век и вовсе изобилует примерами того, каких результатов можно достичь при умелом манипулировании человеческим сознанием и поведением. Пионерами социальной инженерии в том виде, в котором она существует сегодня, считаются телефонные мошенники, появившиеся в 70-е годы прошлого века, а в область информационных технологий эта наука пришла благодаря бывшему хакеру Кевину Митнику, который сейчас является консультантом по информационной безопасности и пишет книги о своем пути социального инженера.

В сфере киберпреступности социальной инженерией называют приемы и техники, которые злоумышленники используют для получения нужных данных или для побуждения жертвы к совершению нужных действий. Как говорил Кевин Митник, наиболее уязвимое место в любой системе безопасности – человек, и киберпреступники хорошо знают это. Социальные инженеры – хорошие психологи, они мастерски находят подход к конкретному человеку, легко втираются в доверие, идут на всяческие уловки и хитрости – и все это с целью получить конфиденциальную информацию.

Как работают социальные инженеры?

В фильме «Поймай меня, если сможешь», снятом по одноименной книге, рассказывается о событиях из жизни реального человека, Фрэнка Абигнейла. Сейчас он является экспертом по документарной безопасности, но в середине ХХ века Абигнейл подделывал чеки и в течение пяти лет виртуозно скрывался от полиции, легко перевоплощаясь в разных людей от пилота до врача. Такое поведение, уловки и тонкая психологическая игра – яркий пример социальной инженерии.

Если для достижения своих целей Фрэнку Абигнейлу приходилось лично контактировать с людьми, используя психологические уловки и актерское мастерство, то сегодня злоумышленники добывают информацию дистанционно, с помощью Интернета и сотовой связи. На уловки хакеров попадаются и обыкновенные компьютерные пользователи, и работники крупных компаний, хорошо разбирающиеся в вопросах информационной безопасности. Главная опасность состоит в том, что жертва сообщает необходимую информацию добровольно, даже не подозревая о том, что своими действиями помогает преступнику.

Манипулирование мыслями и действиями становится возможным из-за когнитивных искажений – отклонений в нашем восприятии, мышлении и поведении. Эти ошибки могут быть вызваны стереотипами, эмоциональным или моральным состоянием, влиянием социума, отклонениями в работе головного мозга. Под воздействием одного или нескольких факторов происходит сбой на этапе анализа полученной информации, в результате чего мы можем составить нелогичное суждение, неправильно интерпретировать события или предпринять иррациональные действия. Зная о таких особенностях работы человеческого мышления, социальные инженеры создают ситуации, в которых жертва наверняка совершит нужное действие, и, как показывает практика, когнитивные искажения оказываются сильнее нас.

Примеры социальной инженерии

Для достижения своих целей злоумышленники эксплуатируют человеческое любопытство, доброжелательность, вежливость, лень, наивность и другие самые разные качества. Атака на человека (так хакеры называют социальную инженерию) может производиться по многим сценариям, в зависимости от ситуации, но существует несколько наиболее распространенных техник работы злоумышленников.

Фишинг. Этот метод оказывается результативным из-за невнимательности пользователей. На электронную почту жертвы приходит письмо от какого-то известного сайта, организации или даже частного лица с просьбой совершить указанные действия, перейдя по ссылке. Чаще всего просят авторизоваться. Человек переходит на сайт и вводит свои логин и пароль, даже не посмотрев на отправителя сообщения и на адрес сайта, а мошенники таким образом получают необходимые для взлома данные, после чего совершают любые действия на странице жертвы.

Троян. Это вирус, получивший свое название по принципу работы, сходному с троянским конем из древнегреческого мифа. Пользователь скачивает программу или даже картинку, и под видом безобидного файла на компьютер жертвы попадает вирус, с помощью которого злоумышленники крадут данные. Иногда это скачивание производится автоматически, когда человек переходит по любопытной ссылке, открывает сомнительные сайты или подозрительные электронные письма. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке или скачали файл.

Кви про кво. От латинского quid pro quo, что в переводе означает «то за это». Этот вид мошенничества работает по принципу «услуга за услугу». Злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе или на компьютере конкретного пользователя, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей, о которых ей сообщил «специалист», и с радостью сообщает нужные данные или выполняет действия, которые диктует мошенник.

Обратная социальная инженерия

Так называется вид атаки, при котором жертва сама обращается к злоумышленнику и предоставляет ему нужные сведения. Это может достигаться несколькими путями:

  • Внедрение особого ПО. Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Конечно, ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. Иногда нужная информация добывается не непосредственной работой с компьютером, а через общение с пользователем, который ради скорейшей починки оборудования готов сообщить мастеру любую конфиденциальную информацию. В дальнейшем, когда взлом обнаруживается, социальный инженер за маской помощника может оставаться вне всякого подозрения, что делает социальную инженерию очень выгодным инструментом.
  • Реклама. Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
  • Помощь. Социальный инженер может умышленно оказаться в числе тех, к кому обратятся за помощью в случае сбоя, а иногда мошенник заранее производит какую-то манипуляцию, которая вынудит жертву искать помощника. В этом случае хакер предстает в положительной роли, а атакованный остается благодарным за оказанную услугу.

Как защититься?

В первую очередь защитой от социальной инженерии являются разумный скептицизм и бдительность. Всегда обращайте внимание на адресанта писем и адрес сайта, где собираетесь ввести какие-то личные данные. Жертвами киберпреступников становятся не только сотрудники компаний и известные лица, но и обыкновенные пользователи – мошеннику может потребоваться доступ к вашей страничке в социальной сети или электронному кошельку. Если вам звонит человек, представившийся сотрудником какой-то организации или сайта, помните, что для манипуляций с вашим аккаунтом, как правило, ему не требуется знать конфиденциальных данных – не разглашайте их сами. Просьба предоставить какую-либо личную информацию, например паспортные данные, должна вас насторожить – для идентификации личности чаще всего требуют назвать только последние цифры каких-то данных, а не все целиком.

Не работайте с важной информацией на глазах у посторонних людей. Мошенники могут использовать так называемый плечевой серфинг – вид социальной инженерии, когда кража информации происходит через плечо жертвы. Немалое количество важных данных было подсмотрено с экрана, пока ничего не подозревающая жертва работала за своим компьютером.

Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь одним из самых лучших помощников социальной инженерии является наше любопытство. В любой ситуации, когда вам звонят, пишут, предлагают услугу или, к примеру, подбрасывают флешку, спрашивайте себя, знаете ли вы, откуда, почему и зачем. Если нет, то посоветуйтесь с проверенным и знающим человеком, а в ином случае проигнорируйте эту ситуацию, но никогда не разглашайте важную информацию без веской причины.

Социальная инженерия

Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств . Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей , данных о кредитных картах и т.п. Основным отличием от простого взлома является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

История

Несмотря на то, что понятие «социальная инженерия» появилось относительно недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны. В начале 70-х годов, в период расцвета фрикинга , некоторые телефонные хулиганы названивали операторам связи и пытались выведать конфиденциальную информацию у технического персонала компаний. После различных экспериментов с уловками, к концу 70-х фрикеры настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели.

Принципы и техники социальной инженерии

Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные (см. также Когнитивность) предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.

Техники социальной инженерии

Претекстинг

Претекстинг - это набор действий, проведенный по определенному, заранее готовому сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных о объекте атаки (например, персональных данных: даты рождения, номера телефона, номеров счетов и др.) Самая распространенная стратегия - использование поначалу небольших запросов и упоминание имен реальных людей в организации. В дальнейшем, в процессе разговора, злоумышленник объясняет, что он нуждаются в помощи (большинство людей могут и готовы исполнить задачи, которые не воспринимаются как подозрительные). Как только доверительная связь установлена, мошенник может попросить что-то более существенное и важное.

Фишинг

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»

Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание) - это вид интернет-мошенничества , целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям . Пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, следующих за ней. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте,и подделанное под официальное письмо - от банка или платёжной системы - требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокированна, и для ее разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. По подсчетам экспертов убытки от этой аферы составили несколько сотен тысяч долларов

Как распознать фишинг-атаку

Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего Фишинговые сообщения содержат:

  • cведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов.
  • обещания огромного денежного приза с минимальными усилиями или вовсе без них.
  • запросы о добровольных пожертвованиях от лица благотворительных организаций.
  • грамматические, пунктуационные и орфографические ошибки.

Популярные фишинговые схемы

Ниже описываются самые популярные фишинговые схемы мошенничества.

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.

Ложные антивирусы и программы для обеспечения безопасности
IVR или телефонный фишинг

Принцип действия IVR систем

Кви про кво

Кви про кво(от лат. Quid pro quo - «то за это»)- это аббревиатура, обычно используемая в английском языке в значении "услуга за услугу". Данный вид атаки подразумевает звонок злоумышленника в компанию по корпоративному телефону. В большинстве случаев злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. В процессе "решения" технических проблем, мошенник "заставляет" цель вводить команды, которые позволяют хакеру запустить или установить вредоносное программное обеспечение на машину пользователя.

Троянский конь

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Типы троянских программ

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов :

  • удалённый доступ
  • уничтожение данных
  • загрузчик
  • сервер
  • дезактиватор программ безопасности

Цели

Целью троянской программы может быть :

  • закачивание и скачивание файлов
  • копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией
  • создание помех работе пользователя
  • похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации , для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях
  • распространение других вредоносных программ, таких как вирусы
  • уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей
  • сбор адресов электронной почты и использование их для рассылки спама
  • шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов
  • регистрация нажатий клавиш с целю кражи информации такого рода как пароли и номера кредитных карточек
  • дезактивация или создание помех работе антивирусных программ и файрвола

Маскировка

Многие троянские программы находятся на компьютерах пользователей без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте операционной системы. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, вмести с ним запускается и троян.

Принцип действия трояна

Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента. Пока Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой он запущен. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или каким-либо другим способом. Как только происходит соединение с Сервером, Клиент может отправлять на него команды, которые Сервер будет исполнять. В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. Поэтому сегодня многие трояны соединяются с компьютером атакующей стороны, отвечающий за прием соединений соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютерах пользователей.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии , но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей .К примеру, такие сайты, как livejournal , «Одноклассники », «Вконтакте », содержат огромное количество данных, которые люди и не пытаются скрыть.Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал «жертву» и создал фальшивый аккаунт человека из ее окружения - ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от «жертвы». Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей . Злоумышленник подбрасывает "инфицированный" , или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство. Например, мошенник может подбросить , снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью "Заработная плата руководящего состава". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Известные социальные инженеры

Кевин Митник

Кевин Митник. Всемирно известный хакер и консультант по безопасности

Одним из самых именитых социальных инженеров в истории является Кевин Митник . Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2002 году выходит книга "The Art of Deception" под его авторством, повествующая о реальных историях применения социальной инженерии. Кевин Митник утверждал, что намного проще получить пароль путем обмана, нежели пытаться взломать систему безопасности

Братья Бадир

Несмотря на то, что братья Мундир, Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи.

Архангел

Обложка журнала "Phrack"

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале "Phrack Magazine" , Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии

Для проведения своих атак, злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак, нужно изучить их разновидности, понять что нужно злоумышленнику и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Классификация угроз

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь.Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.

  • Вложения в документы.
  • Гиперссылки в документах.
  • Запросы личной или корпоративной информации, исходящие изнутри компании.
  • Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Угрозы, связанные с использованием службы мгновенного обмена сообщениями

Мгновенный обмен сообщениями - сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями - это еще и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями - это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки.Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований.

  • Выбрать одну платформу для мгновенного обмена сообщениями.
  • Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями.
  • Определить принципы установления новых контактов
  • Задать стандарты выбора паролей
  • Составить рекомендации по использованию службы мгновенного обмена сообщениями.

Многоуровневая модель обеспечения безопасности

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

  • Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
  • Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
  • Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
  • Компьютеры. Серверы и клиентские системы, используемые в организации. Защитита пользователей от прямых атак на их компьютеры, путем определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
  • Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
  • Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность

Претекстинг и запись телефонных разговоров

Hewlett-Packard

Патриция Данн, президент корпорации Hewlett Packard, сообщила, что наняла частную компанию с целью выявить тех сотрудников компании, кто был ответственен за утечку конфиденциальной информации. Позже глава корпорации признала, что в процессе исследования использовалась практика претекстинга и других техник социальной инженерии

Примечания

См. также

Ссылки

  • SocialWare.ru – Приватный проект по социальной инженерии
  • - Социальная инженерия: основы. Часть I: тактики хакеров

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.

Введение

В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.

Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1. Теория десяти рукопожатий

Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

  1. Жертве звонит сотрудник компании;
  2. Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.

Припоминаете старую теорию шести рукопожатий ? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.

Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам. Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.

Тактика 2. Изучение корпоративного языка

Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, - изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей. Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3. Заимствование музыки для ожидания во время звонков

Для осуществления успешной атаки мошенники нуждаются в трех составляющих: время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично - собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4. Спуфинг (подмена) телефонного номера

Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.

Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании. Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.

Тактика 5. Использование новостей против вас

Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.

Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:

«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».

Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6. Использование доверия к социальным платформам

Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам. Недавний инцидент с целевым фишингом, направленным на пользователей LinkedIn, подтверждает эту теорию.

Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.

Тактика 7. Тайпсквоттинг

Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить. Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8. Использование FUD для воздействия на ранок ценных бумаг

FUD - тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций. Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.

Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.

Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.

Таким образом, многие будут стараться скупить эти акции как можно скорее, а они буду увеличиться в цене.

Выводы

Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя их этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.

Социальная инженерия - метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.

Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.


Рисунок 1 – Основные типы социальной инженерии

Меры противодействия

Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:

  • Пользовательские учетные данные являются собственностью компании.
    • Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.
  • Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности .
    • Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.
  • Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.
    • Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечку информации.
  • На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.
    • На компьютерах сотрудников также необходимо установить брандмауэр.
  • В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.
    • Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.
  • Все сотрудники должны быть проинструктированы, как вести себя с посетителями.
    • Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.
  • Необходимо максимально ограничить права пользователя в системе.
    • Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!