Социальная инженерия в информационной безопасности
Самое слабое звено в структуре информационной безопасности – это человек; можно создать надежную систему защиты и написать очень подробные инструкции по безопасности, однако халатное обращение сотрудников с важными сведениями, их доверчивость и беспечное поведение способны свести на нет все усилия. Может показаться, что угроза со стороны социальной инженерии преувеличена, однако это не так. Многие фирмы уже сталкивались с нарушениями пропускного режима: даже самый строгий охранник способен нарушить правила, если видит женщину с ребенком или больного человека, которому срочно необходима помощь, зачастую социальные инженеры (синженеры) играют на лучших струнах человеческой души. Они способны проникнуть в здание, притворившись больными. Впрочем, в их арсенале имеется немало и других способов. Например, синженеры могут представляться знакомыми руководителей или сотрудниками. Существуют определенные методики, с помощью которых им удается быть убедительными для охраны, здесь главное – иметь правильный настрой и держаться уверенно.
Для эффективного противодействия социальным инженерам–злоумышленникам необходимо изучить все наиболее распространенные сценарии атак, которые они применяют, а затем провести соответствующую работу с персоналом, научив его распознавать опасных людей. Очень часто социальные инженеры используют телефон в качестве средства, помогающего осуществить определенные злонамеренные действия. Поэтому важно проинструктировать сотрудников, чтобы они не произносили лишней информации по телефону. И в том случае, если человек представляется коллегой, необходимо организовать проверку его личности. Например, это может быть кодовое слово, правда, как показывает практика, если «пароль» известен широкому кругу лиц (коллективу организации), он становится достоянием и третьих лиц. Для повышения уровня безопасности можно менять кодовое слово каждый день и рассылать его по корпоративной почте.
Социальные инженеры знают о том, что у сотрудников есть определенные варианты ответов на звонки, и они пытаются работать на исключениях из этих правил, т. е. создают такие ситуации, когда обычный порядок действий оказывается неприменимым. Например, это может быть просьба о помощи: коллега уехал в отпуск, нет доступа к компьютеру, невозможно дозвониться до руководителя отдела, кодовое слово не прислали, но очень срочно нужна информация. Социальные инженеры часто играют на лучших качествах людей, однако в этом случае отзывчивость и взаимовыручка сотрудников могут привести к печальным последствиям. Многие не пройдут мимо чужой проблемы, отступят от формальностей, помогут человеку – на это синженеры и рассчитывают. Иногда злоумышленник организовывает все так, чтобы жертва сама попросила у него защиты. Например, это может быть надуманная проблема, которую он успешно решит. Синженер для получения доступа к компьютеру может позвонить сотруднику компании и представиться новым системным администратором из удаленного офиса. Важно отметить, что особенно страдают от социальных инженеров компании с территориально распределенной структурой, потому что в случае с небольшой организацией трудно выдать себя за ее работника – там все друг друга знают в лицо и по голосу.
Различают прямую и обратную социальную инженерию. Прямая социальная инженерия характеризуется таким воздействием на людей, поокончании которого они часто не понимают, что же с ними произошло. К примеру, если средством атаки был телефон, то после звонка синженера оператор будет уверен, что разговаривал с обычным сотрудником. Методы обратной социальной инженерии вынуждают самого работника обратиться за помощью к синженеру.
Средства, которыми пользуются социальные инженеры, – это телефон, электронная почта, фальшивые интернет-сайты, программы для обмена короткими сообщениями, социальные сети, а их самих можно встретить и в реальной жизни. Необходимо обучить всех сотрудников мерам противодействия, объяснить, что необходимо быть бдительными. Для отработки таких навыков и выявления степени защищенности объекта могут помочь тестовые попытки проникновения. Для этих целей можно прибегнуть к услугам сторонней компании либо организовать проверку собственными силами. Важно, чтобы в подобных контрольных мероприятиях участвовали люди, которых персонал не знает.
Объектами угроз для социальных инженеров являются в первую очередь такие сотрудники, как секретарь в приемной, оператор call-центра, менеджер по работе с клиентами, потому что именно их телефоны и электронные адреса обычно можно найти в открытом доступе. Рекомендуется тщательно следить, чтобы контактная информация на сайте, визитках, в СМИ не была избыточной. Кроме того, следует помнить, что, связавшись с секретарем и войдя к нему в доверие, злоумышленник может получить телефоны других сотрудников, которые он бы не смог узнать из общедоступных источников.
Часто к телефонным справочникам относятся небрежно, никому не приходит в голову их защищать, хотя это кладезь информации для лиц с недобрыми намерениями. Телефонный справочник позволяет не только отыскать номера, по которым можно связаться с сотрудниками, но и получить представление о структуре организации, чтобы потом оперировать точными названиями отделов, должностей. Сведения, которые будут извлечены из открытых источников, придадут легенде социального инженера больше правдоподобности. Например, он, узнав точное название отдела, с большей вероятностью сможет выдать себя за сотрудника.
Если у компании есть офисы в других городах и населенных пунктах, то обычно связь с ними поддерживается по телефону и сети Интернет. Часто она бывает настолько плохой, что идентифицировать личность говорящего по голосу достаточно трудно. Поэтому выдать себя за работника филиала легче, чем за сотрудника, доступ к которому осуществляется по внутренней линии.
Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. Во-первых, необходимо убедиться, что на том конце действительно находится сотрудник организации, сделать это можно различными способами, как уже говорилось выше, например с помощью кодовых слов. Даже когда личность сотрудника подтверждена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. Когда четко регламентировано, что конфиденциальные сведения передаются исключительно на бумажных носителях из рук в руки, то отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные ему очень нужны и он находится в затруднительном положении. Например, лжесотрудник может уверять, что потерял свой пароль от компьютера, при этом находится в отпуске, но ему срочно понадобился доступ к определенному документу.
Иногда невинная фраза, которую обронил, например, охранник при разговоре с социальным инженером может привести к уязвимости. Допустим, он упомянул, что бухгалтер находится в отпуске, в этом случае социальный инженер, получив с помощью технических средств доступ к локальной сети организации, может написать от имени бухгалтера со своего компьютера, что работает дома, будучи в отпуске. Легенда в этом случае будет выглядеть достоверной. Теперь лжесотруднику достаточно набрать номер приемной. Секретарь знает, что бухгалтер находится в отпуске и переведет звонок на системного администратора. Тот, в свою очередь, услышав от секретаря, что на проводе бухгалтер, без тени сомнения даст ему доступ к нужному документу. Именно детали – то, что посторонний не знает об организации, точные названия отделов, фамилии руководителей, сотрудников – все это придает речи социального инженера правдивый характер
Охранник, который осуществляет пропускной режим, должен быть обязательно проинструктирован касательно возможных действий социальных инженеров. Несмотря на то что ему предписано следовать довольно простым правилам: пропускать только сотрудников с пропусками, всех посетителей регистрировать в журнале и позволять им пройти в помещение только в сопровождении других работников организации, он порой позволяет себе от них отступать. Если к охраннику обратится некий человек с просьбой пропустить его к директору, утверждающий, что является его близким другом, и при этом он будет солидно выглядеть, вести себя уверенно, разговаривать начальственным тоном по телефону, то ему вполне могут пойти навстречу. Не каждый охранник при этом запишет данные о нем в журнал. Потребовать паспорт у такого человека решатся очень немногие.
Для подготовки сотрудников к отражению угроз, исходящих со стороны социальных инженеров, необходимо проводить тесты с использованием методов социальной инженерии. Они позволяют понять, насколько работники компании доверчивы и в какой мере выполняют требования безопасности. В этих целях можно использовать посторонних людей. Самый простейший вариант, который можно придумать, – это звонок в кадровую службу. Нужно назваться сотрудником государственной организации, например военкомата, и попросить предоставить персональные данные работников. Если специалист службы выполнит эту просьбу, значит, с ним необходимо провести разъяснительную беседу о том, что персональные данные ни в коем случае нельзя разглашать по телефону, даже если на том конце якобы находится сотрудник уполномоченной организации. Также необходимо проверять такой канал общения, как электронная почта, для этого можно пробовать разослать фишинговые письма и понаблюдать за реакцией персонала на них.
При регулярном осуществлении подобных мероприятий у работников сформируется определенная подозрительность к любым ситуациям, касающимся персональных данных, коммерческой тайны. Они станут проверять личность обратившегося и в большинстве случаев предпочтут ему отказать в предоставлении какой-либо информации без личного общения. Контролировать электронную почту в компаниях обычно довольно просто, ведь, как правило, сообщения там проходят через единый почтовый сервер. Телефонные разговоры, в свою очередь, могут записываться. Однако стоит помнить о том, что сотрудники не забывают информацию по окончании рабочего дня, и в нерабочее время социальный инженер может связаться с ними по социальной сети, аське, скайпу и другим средствам общения.
Защититься от этого можно только постоянными беседами и тренингами. Для того чтобы сотрудники поняли важность аккуратного обращения с информацией, необходимо объяснить им, в чем заключается опасность ее предоставления посторонним лицам, которые могут оказаться злоумышленниками. Нужно особо обратить их внимание на то, какие последствия может повлечь за собой вторжение социального инженера. Стоит также напомнить персоналу, что в случае разглашения коммерческой тайны каждого из них могут уволить по соответствующей статье Трудового кодекса, что негативно повлияет на возможность дальнейшего трудоустройства на ответственную должность.
Так же хорошо, как кнут, действует пряник. Необходимо поощрять сотрудников, которые выявляют попытки злоумышленников получить доступ к конфиденциальной информации. В одной из коллекторских фирм применялась следующая методика воздействия на персонал. Был организован конкурс сочинений на тему «Как я убедил в телефонном разговоре должника погасить задолженность». За лучшие работы выдавалась премия. Этот метод можно перенести и на борьбу с социальными инженерами. Необходимо собирать информацию о том, как действовали те или иные сотрудники в ситуации, когда злоумышленники пытались получить доступ к конфиденциальной информации или к другим важным ресурсам с использованием методов социальной инженерии, и уведомлять об этом других работников. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уговоры социального инженера. Такое стимулирование приведет к тому, что все работники будут осторожно относиться к общению с посторонними лицами. В случае возникновения подозрений они предпочтут обратиться в службу безопасности, зная, что и их могут поощрить за проявленную бдительность и следование разработанным в компании правилам.
Другая мера защиты – она касается в первую очередь организаций с распределенной структурой – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники друг друга хорошо знают, в том числе работников из удаленных офисов, то вероятность того, что посторонний человек представится кем-то из персонала, будет значительно уменьшена, по крайней мере, по голосу люди будут друг друга узнавать. Также очень важно, чтобы регулярно выходил новый телефонный справочник и все были в курсе того, кого на работу приняли, кто уволился. Если, допустим, позвонит человек и назовется новым системным администратором, то сотрудник попросит его представиться, и если прозвучавшей фамилии в справочнике не найдется, значит, скорее всего, в компанию обратился социальный инженер.
Часто социальные инженеры прибегают к следующему приему: звонят и представляются распространенным именем. Например, говорят: «Здравствуйте, это Мария!» Как правило, женщина с таким именем есть в каждой организации. Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы, не боялись спрашивать, если есть возможность, проверяли личность другим способом. Например, просили подтвердить разговор по телефону сообщением по почте. Чтобы выполнить эту просьбу, социальный инженер должен располагать не только нужным номером телефона, но и иметь контроль над электронной почтой, т. е. он должен отправить письмо с локального адреса с домена компании, а это сделать уже гораздо сложнее. Можно производить проверку, перезванивая на личный номер сотового телефона.
Навыки социального инженера могут пригодиться и самому специалисту по безопасности при отборе кадров. Правильно организованное собеседование позволяет выявить слабые и сильные места кандидатов. Зачастую крупные организации прибегают к стрессовым собеседованиям. В этом случае личные и профессиональные вопросы задаются таким образом, чтобы чередовать напряжение и непринужденную атмосферу. При этом новому претенденту на должность очень трудно лгать по поводу деталей своей биографии, так как вопросы во многом дублируют друг друга и часто взаимосвязаны. Если после третьего вопроса выясняется, что ответом на первый была ложь, то к такому потенциальному работнику возникает недоверие. Также полезно владеть приемами социальной инженерии для выявления нелояльных сотрудников и тех, кто хочет покинуть свое место работы. Причем наиболее эффективными являются те методики, которые позволяют специалисту службы безопасности расположить к себе человека и установить с ним дружеские отношения, это помогает выйти на откровенный разговор, в ходе которого можно выяснить полезные детали.
Необходимо, чтобы о такой проблеме, как возможные атаки социальных инженеров, знали те, кто постоянно взаимодействует с людьми: операторы, кассиры, охранники, секретари. Именно они обычно связаны с внешним миром больше других сотрудников. Наиболее подвержены атакам социальных инженеров секретари. Зачастую эту должность занимают женщины без высшего образования, которые порой достаточно доверчивы и отзывчивы, что как раз на руку социальным инженерам. Необходимо объяснить секретарю, почему опасно переводить подозрительные внешние звонки на внутреннюю линию. У сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается. Также требуется, чтобы секретарь при уговорах дать номер какого-либо работника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка. Документировать такие ситуации необходимо как можно подробнее: кто звонил и почему, полезно также передавать суть разговора.
Если при попытке атаки компании через секретаря социальный инженер обычно использует в качестве орудия телефон и электронную почту, то охранник сталкивается с ним непосредственно. В целях контроля над пропускным режимом необходимо организовывать периодическую проверку работы охранников для выяснения, не позволяют ли они кому-то проходить в здание, пренебрегая инструкциями из гуманных соображений (бабушки, женщины с детьми, инвалиды) или по договоренности. Под любым невинным предлогом, например мытья рук, социальный инженер может проникнуть в здание и осуществить определенные деструктивные действия. Талантливыми социальными инженерами обычно являются представители сетевых маркетинговых фирм. Они способны уверить охрану в чем угодно, например в том, что им физически плохо, поэтому требуется попасть в здание к медсестре, чтобы воспользоваться аптечкой, или болит живот и необходимо срочно в туалет. Такие продавцы косметики, книг, биологически активных добавок могут быть очень убедительными и вызвать сочувствие у охранника. Цели их проникновения в помещение – распространение продукции и навязывание услуг. Таких людей бывает достаточно сложно распознать, они весьма настойчивы, умеют аргументировать и за их плечами большой опыт. Но обычно они отказываются от прохода на территорию, если им предлагают сопровождение. И это естественно, ведь при таком развитии событий теряется смысл проникновения в здание, ведь им нужно именно неконтролируемое перемещение.
Для проведения проверки можно попросить каких-либо знакомых попытаться под благовидным предлогом пройти в офис компании. По окончании такого контрольного мероприятия следует подвести итоги. В том случае, если они неутешительны, полезно активизировать профилактическую работу, например провести дополнительную разъяснительную беседу с охранниками о необходимости строжайшим образом соблюдать инструкцию о пропускном режиме, не делая ни для кого исключений.
Также стоит обратить внимание на системного администратора, он обладает практически неограниченными правами доступа, располагает возможностью изменять эти права для сотрудников, ограничивать и разрешать доступ к ресурсам. Атаки социальных инженеров часто связаны с попытками через администратора установить удаленный доступ к документам. Это может быть сделано хитростью, когда социальный инженер выдает себя за работника, шантажом и даже с использованием романтических чувств. Часто социальный инженер специально собирает информацию о потенциальной жертве – сделать это сегодня очень легко, учитывая, что многие люди добровольно выкладывают сведения о себе в социальных сетях и блогах. Такие данные помогают социальным инженерам осуществлять свои атаки: если, например, системный администратор – одинокий тридцатилетний мужчина, то он с большой долей вероятности выполнит нужные действия, если с ним будет общаться девушка, которая при разговоре станет флиртовать и показывать свою заинтересованность в дальнейшем общении.
Социальные инженеры берут на вооружение психологию, которая помогает им манипулировать людьми и получать нужную информацию. Многие недооценивают социальную инженерию как таковую и считают, что технические и организационные меры предотвращения угроз обеспечивают полный контроль над ситуацией. Это верно, если организация стремится обезопасить себя от случаев копирования сотрудниками документов, выноса носителей информации либо проникновений грабителей и краж системных блоков. Однако не всегда атаки происходят в лоб, часто при этом применяется хитрость: злоумышленник выдает себя за другого человека. Вот это как раз и есть социальная инженерия. Для того чтобы ей эффективно противостоять, необходимо самому быть чуточку синженером.
Не только против злоумышленников можно применять методы социальной инженерии, они могут оказаться полезными при отборе персонала, для контроля уровня лояльности внутри коллектива, выявления виновных в нарушениях, произошедших на предприятии. Это огромная область знаний, каждый уважающий себя специалист по безопасности должен иметь навыки в этой сфере. Защищая информацию на уровне компьютеров и других устройств, мы остаемся открытыми для иных угроз, исходящих напрямую от людей. Социальная инженерия не защитит сервер от действий хакеров (за исключением случаев, когда у системного администратора пытаются выманить пароль доступа). Она не предотвратит случайную отправку сотрудником важных документов на чужой адрес. Однако она, безусловно, поможет справиться с ситуациями, связанными с действиями злоумышленников, которые пытаются добиться своих целей с помощью хитрости и обмана
SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)
SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.
Торговая площадка SEBLOG — Только проверенные временем товары и услуги.